SSH som hidden service

Efter dagens presentationer på 32c3 om Tor, Tor Onion Services, More Useful Than You Think, och State of the Onion,  så beslöt jag mig för att börja lägga till alla mina egna (mest privata) tjänster som hidden services.

Instruktionerna för att skapa en konfiguration för sin hidden service är rätt bra, och rätt enkla om man vill dölja en webbtjänst. Men om man vill använda t.ex. en SSH-klient för att ansluta till sin SSH-service så får man söka rätt ordentligt på nätet för att ta reda på hur man gör.

Så här är snabb-snabb-instruktionerna för hur man skapar sin SSH-tjänst som en hidden service på en debian/ubuntu-maskin – kör som root:

apt-get install tor

Lägg till följande i din konfiguration i /etc/tor/torrc:

HiddenServiceDir /var/lib/tor/ssh_hidden_service/
HiddenServicePort 22 127.0.0.1:22

Sedan kör du

systemctl reload tor.service

Du hittar din .onion-adress genom att köra

cat /var/lib/tor/ssh_hidden_service/hostname

Nu har du alltså en SSH uppsatt som en hidden service. Bra! Men hur ansluter man?

Jo, såhär. Man lägger till följande proxy-information i sin .ssh/config, förutsatt att ens socks-proxy för Tor körs på port 9050 (vilket är default):

Host *.onion
ProxyCommand /usr/bin/nc -xlocalhost:9050 -X5 %h %p

Nu ska man alltså helt utan problem kunna köra ett ssh-kommando för att ansluta till en .onion-adress:

ssh pawal@exempelhash123.onion

Om du har en massa maskiner bakom NAT underlättar ju även det här att komma åt dem, även om det blir en hel del extrahopp över Tor-nätet på vägen.

En fotnot: Den här bloggen är även tillgänglig på http://hxrni7witdpetpuf.onion/, men pga hur WordPress fungerar så är det väldigt mycket jobb att få till det så att länkar och bilder går .onion-adresserna istället för att läcka ut till den vanliga sajten.

30
Dec 2015
POSTED BY
DISCUSSION 2 Comments
TAGS

2 Responses to : SSH som hidden service

  1. Pingback: Website as hidden service: how do? – dabitch.net

  2. Ann O Nym says:

    Testade detta på en överbliven Raspberry Pi på hemma och på temat att komma åt maskiner bakom NAT så funkar det utmärkt att komma åt andra maskiner hemma genom den på följande vis:

    ssh -o “ProxyCommand ssh user@tormaskin.onion -W %h:%p” user@lanmaskin

    Så genom att exponera en maskin mot TOR kan jag komma åt övriga genom den utan att hålla på och öppna portar etc och utan att de är direkt tillgängliga från internet. Det är väl kanske security through obscurity men det känns bra. När jag väl är inne kan jag ju öppna portar, starta tjänster etc om jag behöver en direkt anslutning.