LinuxでTorをブロックする方法は?

LinuxでTorをブロックする方法は?

Linuxコンピュータ(Debian 10)でTorブラウザをブロックしたいです。

具体的には、ローカルユーザーがこのコンピュータでTorブラウザを起動しないようにしたいと思います。

システムには1つのユーザーアカウントがあり、そのユーザーにはrootアクセス権がありません(自分だけです)。

Torブラウザを単に削除することは不可能です。ユーザーがバージョンをダウンロードして実行できるためです(rootアクセスなしで)。

私がこれを達成したいのは、ホワイトリストに登録されているドメインのみを許可するためにそのコンピュータでdnsmasqを使用しているからです。ただし、Torを使用するとこれを回避できます。

このスクリプトをrootとして実行しようとしています。

#!/usr/bin/bash

while true; do
    for i in "[T|t]or [B|b]rowser" "[F|f]irefox"; do
        pkill -f "$i"
    done
    sleep 5
done

しかし、これは信頼できません。ユーザーは、バイナリファイル名の数だけ変更すると、Torが起動します。

インターネット検索によると、nftablesを使ってTorをブロックすることが可能だと述べていますが、利用できる資料が多くなく、これが実際に可能かどうかはわかりません。

答え1

私はこれが安定して達成できるとは思わない。一緒に働いているならブラックリスト。たとえば、現在の設定では、この人はTorブラウザも必要ありません。設定を変更して、通常の古いFirefoxを使用することもできます。HTTPSベースのDNS。それで、あなたは何をしますか?宛先ポート443へのTCP接続をブロックしますか?よく知られているDNS over HTTPSプロバイダのドメインのみをブロックする場合は、すべてを記録するあいまいであいまいなプロバイダを使用するように誘導することです。お勧めできません。

ただし、選択したドメインのリストを使用していて、そのドメイン検索を許可したい場合そのドメインのみその場合、考えられる解決策は次のとおりです。

  • インストールするスニプロキシネットワーク上のコンピュータ(仮想マシンかもしれません)
  • sniproxy設定の場合は、許可されたドメインでフォームを入力してください。
  • sniproxyがLANのポート80と443でリッスンするようにします。
  • 許可されているすべてのドメインに対してsniproxyを実行し、残りのドメインに対して0.0.0.0(またはlocalhost)を実行しているシステムのIPアドレスを指すようにDNSを設定します。
  • iptables / nftablesを使用してsniproxyを実行しているシステムを除いて、ターゲットシステムからターゲットポート443へのすべてのTCP接続をブロックします。

私の考えと同様のことは、次のように行うこともできます。イカ

関連情報