Безопасный SOCKS5 прокси для Telegram за 1 Евро и 10 минут

Не все прокси одинаково полезны. На волне новостей о блокировке мессенджера Телеграмм стало актуально поднимать свой SOCKS5 прокси, так как чужой использовать не безопасно — неизвестно, кому принадлежат серверы, какое ПО на них используется, и какие в нем присутствуют уязвимости. Кроме того, публичные прокси часто очень медленные, поскольку большое число клиентов одновременно «пытаются» его использовать, перегружая ресурсы сервера. Под катом инструкция по быстрой настройке приватного SOCKS5 прокси с аутентификацией за 1 евро и 10 минут времени и возможностью в дальнейшем расширить защиту сервера при помощи усиленной аутентификации.

Решил проверить предложение итальянского хостинг-провайдера Aruba , который предлагает VPS за 1 евро в месяц с белым IP, входящим в эту цену. За 1 евро получил боевой сервер с 1 ядром. 1 Гб памяти, 20 Гб хранилища, 2 Тб трафика в месяц. В качестве операционной системы я выбрал свою любимую Ubuntu server 16.04. В качестве прокси сервера — Dante.

Установка ОС производится при конфигурировании сервера из шаблона. Спустя 2-3 минуты после создания, машина будет готова к SSH по установленному паролю, либо загруженному SSH-ключу (в той же веб-админке).

Сразу оговорюсь, что аутентификация у прокси по системному пользователю не работает в пакете, предоставляемом в дистрибутиве, а открытый прокси нам не нужен. Мы воспользуемся дистрибутивом с исходниками и соберем Dante сами, благо процесс сборки на нашей ОС проходит без единой ошибки. Итак, приступим:

Регистрируемся на arubacloud, заводим сервер за 1 евро, создаем по шаблону ОС Ubuntu Server 16.

Заходим по SSH на наш сервер, скачиваем и собираем Dante.

wget https://www.inet.no/dante/files/dante-1.4.1.tar.gz
tar -xvf dante-1.4.1.tar.gz
cd dante-1.4.1
apt-get install gcc make
mkdir /home/dante
./configure --prefix=/home/dante
make
make install

Корректность установки можно проверить введя

/home/dante/sbin/sockd -v

Скачаем файл настроек

wget -O /home/dante/danted.conf https://demo.a-rd.ru/danted.conf

Конфигурация, если используется на описываемой платформе, не отличается, т. е. по умолчанию именно такая. Все необходимое уже есть.

logoutput: /var/log/socks.log

internal: eth0 port = 1080 #
В качестве входящего соединения используем наш дефолтный интерфейс на порту 1080
external: eth0 #В качестве выходного также его

method: username 
user.privileged: root #Рут нужен для возможности проводить аутентификацию системных пользователей
user.notprivileged: nobody

client pass {
        from: 0.0.0.0/0 to: 0.0.0.0/0 #Правила оставляем как есть, для наших целей этого достаточно
        log: error connect disconnect
}

client block {
        from: 0.0.0.0/0 to: 0.0.0.0/0
        log: connect error
}

pass {
        from: 0.0.0.0/0 to: 0.0.0.0/0
        log: error connect disconnect
}

block {
        from: 0.0.0.0/0 to: 0.0.0.0/0
        log: connect error
}

Для запуска выполните

/home/dante/sbin/sockd -f /home/dante/danted.conf -D

Бинарник лежит именно в

home/dante/sbin/

Для остановки

pkill sockd

Создадим системного пользователя, которого будем использовать для нашего прокси (без возможности зайти по SSH).

useradd --shell /usr/sbin/nologin username

Зададим ему пароль

passwd username

Перезапустим Dante с нашим конфигом

pkill sockd
/home/dante/sbin/sockd -f /home/dante/danted.conf -D

Если перезагрузить сервер, Dante будет необходимо запустить вручную.

Теперь необходимо подключить прокси в настройках Мессенджера: Настройки > Данные и диск -> Использовать прокси -> SOCKS5. Вводим наш IP, 1080 порт, логин и пароль для созданного пользователя. Настройка доступна для всех десктопных приложений Телеграмм в разделе Расширенные настройки -> Тип соединения -> TCP с прокси.

Как и положено в мире информационной безопасности, сразу после настройки нужно потратить еще немного времени на защиту своего сервера, а именно доступа к консоли по SSH. Для этого рекомендую заменить традиционный подход к защите доступа с помощью традиционной пары «логин-пароль» на специализированные устройства для обеспечения защищенного доступа на основе асимметричной криптографии, в нашем примере это USB-токены JaCarta PKI. При таком сценарии вы будете входить на сервер по сертификату, закрытый ключ от которого находится в самом устройстве JaCarta PKI и не может быть извлечен. Как это сделать, описано в этой статье.

Если у вас нет желания использовать устройства для усиленной аутентификации на основе асимметричной криптографии, вы можете настроить вход по одноразовым паролям (OTP) с сервисом JaCarta Authentication Server. Статью об этом можно найти здесь .
Аладдин Р.Д. 67,66
Информационная безопасность
Поделиться публикацией
Похожие публикации
Комментарии 140
  • +20
    буквально на днях была практически такая же статья на гиктаймс ровно с точно такими же ошибками. Зачем опять постить одни и те же косяки?

    1) актуальная версия 1.4.2, а не то что здесь написано от 2014 года. Она есть как на оффсайте, так и в репозиториях.
    2) службы не должны запускаться вручную. используйте systemd

    а настройки прокси делается гораздо проще, буквально в 5 команд. t.me/bykvaadm/639
    • –5
      Уточните, о каких ошибках речь? Если есть конструктивные предложения, прошу озвучить, с удовольствием добавлю в пост.
      В статье осветил исключительно свой опыт со всеми шагами до результата.
      • +30
        вы предлагаете качать исходники софта с вашего сайта:
        wget https://demo.a-rd.ru/dante-1.4.1.tar.gz
        Это что за дичь вообще?
        • +2
          Вы абсолютно правы, заменил ссылку на сайт разработчика.
        • 0
          internal: eth0 port = 1080
          В современных дистрибутивах имена интерфесов могут быть уже не только eth0, но и enp0s4, ens192 итд итп. такой конфиг вводит в заблуждение.
          • +1
            Конфиг предлагается под определенные шаги с описанной ОС, на описанном VPS. Дополнительно дается расшифровка конфига. Статья не заявлялась, как универсальный гайд по настройке Dante, а лишь альтернативный способ быстро дойти до результата.
            • +1
              Ubuntu 16.04/Debian 9+ — у всех них интерфейсы имеют имена отличные от eth0 100%, говорю как пользователь 20+ серверов на Ubuntu.
              • 0
                # cat /etc/lsb-release
                DISTRIB_ID=Ubuntu
                DISTRIB_RELEASE=16.04
                DISTRIB_CODENAME=xenial
                DISTRIB_DESCRIPTION="Ubuntu 16.04.4 LTS"
                # ifconfig eth0
                eth0 Link encap:Ethernet


                Не 100%.
                • 0
                  значит у вас используется cloud image пересобранный, дефолт в Debian 9 и ubuntu 16.04 — ens18 etc.
            • 0
              На арубе темплеты со встроенными VMWare Tools и там имена eth0/eth1 почти во всех дистрибутивах. Это причиняет боль например на CentOS где новый firewalld после деплоя не работает и его приходится приколачивать гвоздями на место (если есть конечно желание оставться в логике дистрибктива).
            • 0
              Почему версия 1.4.1, а не последняя?
              • 0
                Можно использовать 1.4.2. Причиной использования 1.4.1 послужила неработающая аутентификация по системному пользователю в новой версии. Возможно я что то упустил.
                • 0
                  все прекрасно работает. Посмотрите конфиг из моей статьи. по нему не один прокси уже настроили
            • –1
              Если уж на то пошло, можно настроить в две команды
              • 0
                чужие скрипты от рута? нет, спасибо. Времени разобраться что он делает уйдет куда больше чем поставить данте из репозитория или пакет.

                И кстати в этом скрипте предлагают поставить устаревшую версию из исходников. Если есть вариант установки из репозитория, зачем городить огород? просто вот, блин, ЗАЧЕМ?
                • 0
                  2011-08-04: Dante version 1.3.2 has been released. Автор, советуй еще такие скрипты.
              • +14
                Не нужно вводить людей в заблуждение на волне хайпа: единственный более-менее безопасный SOCKS-сервер это тот, где аутентификация осуществляется через GSSAPI (при этом соединение шифруется). При использовании любого другого метода логин и пароль передаются плейнтекстом в открытом виде без единого намека на шифрование, а проксируемые соединения также никак не шифруются.

                Подробнее можно узнать в соответствующих RFC или в документации Dante: www.inet.no/dante/doc/1.4.x/config/auth.html
                • +1
                  А использовать GSSAPI с телеграммом возможно?
                • +1
                  А ещё есть Shadowsocks. Локальный клиент изображает из себя SOCKS для прриложений, трафик шифрует и посылает на сервер, где он выходит в интернеты. Настройка простейшая. Если правильно выбрать алгоритм шифрования под железо, будет быстрее, чем SSH туннель в разы. Из недостатков — в репы попал только в Ubuntu 16.10 и я не знаю как на нём сделать открытый порт.
                  • 0
                    Звучит неплохо, но выходит за рамки дискуссии :)
                    • 0
                      в репы попал только в Ubuntu 16.10
                      ppa:max-c-lv/shadowsocks-libev — есть для xenial и trusty
                  • +3

                    Зачем еще какие либо SOCKS серверы, если SSH уже с SOCKSом на борту.

                    • –3
                      Аутентифицироваться по логину и паролю системного пользователя имеющего доступ по SSH несекьюрно, тем более, что логин и пароль передаются плэйнтекстом. Возможно вам также потребуется поделиться доступом к прокси с кем то из недоверенного круга.
                      • +1
                        вы кстати вкурсе, что useradd --shell /usr/sbin/nologin username
                        не спасает ваш сервер от логина под этим пользователем по ssh? по логину и паролю
                        • +1
                          Можете подробнее рассказать? У меня не пускает.
                          • +2
                            t.me/bykvaadm/655

                            Не совсем правильно выразился. ssh позволяет не логиниться, но порты открывать во внутреннюю сеть прокси-сервера или поднимать свой сокс прокси — ssh -D -N
                            • 0
                              Хм, и правда неприятно. А есть какие-то способы решения? Я понимаю, что socks5 в принципе не очень секьюрно, но телеграм свой трафик шифрует, а ни для чего больше я этот прокси использовать не планирую.
                              • +3
                                кривое, но рабочее решение — указать в качестве шелла какую-нибудь херню)))

                                более правильное — в кофиге ссш
                                Match User user1,user2,user3,user4
                                PasswordAuthentication no
                                • +2

                                  Совсем правильное — поставить 3proxy, у которого пользователи заводятся в его файле конфигурации. Ну или прикрутить к Dante FreeRADIUS, но по мне это уже перебор.

                                  • 0
                                    еще DenyUsers user директива
                                    • 0
                                      К сожалению, не могу написать в ЛС, капча не работает, даже через VPN.
                                      У меня такой вопрос, а эта инструкция и сами контейнеры днищще, или же можно пользоваться? telegra.ph/VPNIPsecL2TPSocks5-za-minutu-04-15
                                      Там на контейнерах, socks-proxy вообще на go написан и по гитхабу вроде довольно популярен.
                                      И если не совсем днище, что бы вы порекомендовали сделать в дополнение к ней?
                                      У меня убунту 16 на Хетцнеровском виртуальном сервере, ssh через приватный ключ, по паролю не зайти.
                                      • 0
                                        это немножко оффтоп для данной ветки. напиши в ТГ в пм.
                            • +1
                              Аутентифицироваться по логину и паролю

                              Чем не угодила авторизация по ключу вместо пароля?


                              Возможно вам также потребуется поделиться доступом к прокси с кем то из недоверенного круга.

                              К счастью это не проблема. Но это не тема вашей статьи. Которая уж точно не покрывает безопасные кейсы, особенно если судить о рекомендацией использовать код из подозрительного источника запущенный от root'а.

                              • 0
                                Мы настраиваем прокси для единственной цели — Telegram. Если вы знаете способ аутентифицироваться в прокси в приложении Telegram по ключу, очень прошу поделиться.

                                Ссылку на исходники заменил на сайт разработчика.
                                • 0
                                  Если вы знаете способ аутентифицироваться в прокси в приложении Telegram по ключу, очень прошу поделиться.

                                  Это и не нужно, SOCKS не безопасен. Все ваши подключения можно легко отследить и как минимум заблокировать, когда начнут душить незащищённые прокси, только дело времени. Всё, что нужно это использовать локальный SSH как безопасный туннель во внешний мир.

                                  • +2
                                    Локальный SSH туннель для iOS приложения Telegram? Как? Только не предлагайте заворачивать весь трафик в VPN. Слава богу, пока это без надобности.
                                  • +1
                                    Win — PuTTY
                                    Android — JuiceSSH

                                    И далее, на 127.0.0.1
                          • +1
                            За 1 евро получил боевой сервер с 1 ядром. 1 Гб памяти, 20 Гб хранилища, 250 Гб трафика в месяц.

                            А на сайте говорят, что за 1 евро дают 2ГБ трафика в месяц.
                            doctorblack, это у них где-то подвох, или вы напутали?
                            • 0
                              откуда и вы и ТС берете цифры?
                              2 TB/month data transfer
                              на минимальном тарифе
                              • 0
                                При подготовку материала произошла путаницу, действительно 2 Тб.
                              • 0

                                Странно… Я вижу 2Тб, не 2Гб...

                                • 0
                                  Причем стоит добавить что только в IT1 и CZ1
                                  • 0
                                    пробовал создавал пару месяцев назад VPS на CZ1, и пробовал запустить бенчмарк интернет скорости, скорость там была буквально пару мбит.
                                  • 0
                                    Вероятно напутал, указано 2 Тб трафика. Спасибо, поправил.
                                    • 0
                                      Это именно 2Терабита, верно?
                                      • 0
                                        Если верить провайдеру, то они предоставляют от 1000Мбит/с пропускной способности интерфейса и 2 Тбайт трафика в месяц.
                                    • 0
                                      Вероятно перепутал, в действительности указано 2 Тб.
                                      • 0
                                        Там написано «2 TB/month data transfer».
                                        Это вроде как означает «два терабайта трафик», или я ошибаюсь?

                                        UPD: буду стараться обновлять камменты перед написанием своего…
                                      • 0
                                        Простой VPN за 3 секунды:

                                        sshuttle -r user@XXX.XXX.XXX.XXX 0.0.0.0/0

                                        где XXX.XXX.XXX.XXX ваш сервер.
                                        • –1

                                          … с кучей питонячего го#@ища кол-вом ~72 единицы и необходимостью наличия питона на сервере. даже не знаю: плакать или смеяться от такого "vpn"....

                                        • 0
                                          Зачем сокс, если телеграм и так справлялся с обходом блокировки, а теперь её и вовсе сняли?

                                          Зачем персональный/защищённый/безопасный сокс, если mtproto никто не сломал?

                                          Себе я конечно же поднял свой прокси и на всякий случай раздал доступ друзьям, но лишь потому, что у меня уже был сервер, и поднять на нём прокси не стоило ничего. И прокси даже пригодилось, клиент на мобильной винде блокировки не обходил. Но не будь у меня своего сервера, я бы наверное просто взял один из публично доступных сокс прокси, которые можно нагуглить по запросу «free socks proxy».
                                          • 0
                                            На данный момент лично я не берусь предсказывать ситуацию по телеграму в ближайшем будущем. Возможно эта нелепая блокировка забудется, но нужно рассматривать все варианты. Касательно бесплатных прокси — опыт показывает, что они медленные, нестабильные и принадлежат не мне)
                                          • 0

                                            Свой сервер — это всё хорошо, конечно (мы не можем проверить провайдера VPS, и вынуждены ему тупо довериться или не пользоваться). Но мне кажется, что хорошо, пока это наш сервер не заблочат (или пока случайно не попадёт под блокировку). Так что у VPS здесь большое преимущество, т.к. можно легко поменять ip. Поправьте меня пожалуйста, если я ошибаюсь.

                                            • 0
                                              В данном посте речь идет о тарифе VPS с неизменяемыми IP, т е поменять в тарифе за 1 евро IP не получится.
                                              • 0
                                                Выборочно этот конкретный IP никому не нужен. Его блочить никто не будет.
                                                Если уж блочить, то сразу целую подсеть. А там глядишь весь данный хостинг-провайдер станет недоступен.
                                              • 0
                                                Спасибо за пост, теперь РКН знает чьи маски банить)
                                                • 0
                                                  Этот аруба включил без предупреждения виртуалку. Кнопка включения виртуалки а админке просто не работала. Страница отправки тикета не работает.
                                                  Опытным путём выяснили, что нужно пополнить баланс (хотя было проплачено на год)
                                                  • +3
                                                    если уж на то пошло на lowendbox можно найти сервер за $5 в год и потом ssh -C2qTnN -D 8080 user@server
                                                    • +1
                                                      Не нашел такого тарифа, самый стартовый, за 2$ в месяц, выглядит так
                                                      VM-Starter:

                                                      – 1GB RAM
                                                      – 1GB vSwap
                                                      – 4x vCPU
                                                      – 30GB HDD Space
                                                      – 1TB Transfer
                                                      – 1Gbps Uplink
                                                      – 1x IPv4
                                                      – OpenVZ/SolusVM
                                                      – Coupon: HPYSALE
                                                      – $2/month
                                                      • +2
                                                        есть вот такой:

                                                        OpenVZ 2018

                                                        2GB RAM
                                                        2 x vCores
                                                        20GB Pure SSD
                                                        2TB Bandwidth
                                                        1Gbps Uplink
                                                        1 x IPv4
                                                        OpenVZ (SolusVM)
                                                        Linux Only
                                                        $10/yr
                                                        • 0
                                                          там бывают спецпредложения и распродажи всякие, как пример — mrvm.net, которым я пользуюсь сейчас, стоит $5 год за NAT256 (предполагаю была акция по набору клиентов).
                                                          Про качество ничего не скажу т.к. использую раз в несколько дней исключительно как прокси.
                                                          • 0
                                                            OpenVZ Offer #1:
                                                            1 x vCore
                                                            512MB Memory
                                                            5GB Pure SSD
                                                            2TB Bandwidth
                                                            1Gbps Port
                                                            1 x IPv4
                                                            OpenVZ/SolusVM
                                                            [ORDER] $7.50/yr (Pre-pay 3-years to get either Double Memory, IP’s, CPU or SSD space)

                                                            дальше лень листать
                                                          • 0
                                                            Есть интересный вариант с yoctobox (но я пока сам его не пробовал). Там 15 долларов в год, но зато безлимит по трафику хоть.
                                                            • 0
                                                              Там скорость печальная будет, хотя для Telegram хватит. За $15 в год уже получше.
                                                              • 0
                                                                ради интереса проверил только что — 15 Mbps, покрывает все мои задачи через прокси
                                                            • 0
                                                              Если никогда не настраивали прокси/соксы или просто лень, то рекомендую попробовать 3proxy, как самый простой. В своё время пользовался ним, когда универский провайдер пытался убить торренты закрытием портов выше 1000.
                                                              • +5
                                                                Безопасный SOCKS5

                                                                SOCKS5 по определению не может быть безопасным, он не для этого проектировался.
                                                                А парольная авторизация системных пользователей, через незащищённый SOCKS5 это даже не дыра в безопасности, это парадная дверь к серверу.

                                                                • +2

                                                                  при этом обратите внимание, что пост — от инженера (не стажёра!) из компании, занимающейся информационной безопасностью… да, прав был Meteo в своё время об этой конторе...

                                                                  • 0
                                                                    Не знаю, что имел в виду автор, но обычно, когда говорят о прокси/соксах, слова безопасный, анонимный и иже с ними приобретают несколько иной смысл.
                                                                  • +1
                                                                    Полный ахтунг во всём от начала и до конца.
                                                                  • 0
                                                                    1. 1€ в месяц — это без учета НДС. В моем случае — +19%. Разорение, конечно, невелико, но раздражает
                                                                    2. Ниже на странице хостера дают free trial на 2 месяца — www.arubacloud.com/free-trial.aspx
                                                                    • 0
                                                                      Если вы из России, напишите в поддержку, вам отключат VAT, и будете платить ровно €1.
                                                                      • 0
                                                                        + лично мне чуть ли не после каждого платежа присылают промокоды на теже самые 20%
                                                                        • 0
                                                                          Странно, пользуюсь 7 месяцев, НДС ни разу не платил, ровно 1€.
                                                                        • +1
                                                                          Спасибо за статью! Как ещё один вариант, можно использовать «3proxy».
                                                                          • +1
                                                                            Уважаемые, вместо того что бы ругать, предлагайте в комментах свои варианты. Будем сказать спасибо
                                                                            • 0
                                                                              Можно упросить настройку dante до одной команды
                                                                              hub.docker.com/r/schors/tgdante2
                                                                              • +1
                                                                                Не советую.
                                                                                Я в начале прошлой недели закупил VPS за 1евро.
                                                                                Скорость было около 80-100мбит, при обещанных 1000мбит, а после того как начали появляться такого рода статьи, то скорость упала до 1-12мбит, что печалит.
                                                                                Тех под отвечает примерно вот так.
                                                                                Dear customer,
                                                                                Raw connectivity performance depends on multiple factors. Time — global traffic loads fluctuate all the time form a point A to B depending of the quantity of data transfer at a specific time window linked to the global load generated by users on the network of the public Cloud platform Routes — path to transfer data packets remains different when location change (see traceroute command) IP transit-Tier1 provider /ISP network — depending of the physical and multiple networks linking A to B the bandwidth or access to bandwidth may vary according to time/load/peering/…
                                                                                • 0
                                                                                  Больше интересует то, как при использовании Данте или другого прокси заставить работать звонки.
                                                                                  • +1
                                                                                    Проверил, для звонков работает, если указать «Использовать для звонков», в настройках прокси в самом телеграме.
                                                                                  • 0
                                                                                    Aruba говорите?
                                                                                    Попробовать, конечно, оно можно, но мой опыт говорит о том, что это будет медленно и слезливо-печально все, как всегда бывает, когда Aruba что-то там делает почти даром.
                                                                                    • 0
                                                                                      Арубой за 1евро пользуюсь с год, всё отлично. хотя есть и например time4vps eu за тот же евро. Но аруба на порядок круче, тк не опенвз, а полноценная виртуализация
                                                                                      • 0
                                                                                        Вот-вот. У них сайт запросы обрабатывает — замучаешься ждать. А ssh ппц какой медленный за один евро. Нафиг такой сервис нужен, лучше уж найти подороже да пошустрее.
                                                                                        • 0
                                                                                          ОЧЕНЬ ШУСТРО работает (debian 9 + danted с pam.user + отключённая ssh-auth По паролю)
                                                                                        • –1
                                                                                          Зря вы арубу популяризируете.
                                                                                          РКН только что уже до 2х /16 DO добрался.
                                                                                          • +1

                                                                                            Я тут на коленке собрал ещё более быстрый вариант настройки своего socks:


                                                                                            curl https://selivan.github.io/socks.txt | sudo bash


                                                                                            Описание: https://selivan.github.io/socks/


                                                                                            З.Ы. Да, curl|bash это плохо, но если виртуалка или контейнер больше ни для чего не используется, то не страшно. Ну и никто не мешает прочитать скрипт перед запуском.

                                                                                            • 0
                                                                                              Да, curl|bash это плохо, но если виртуалка или контейнер больше ни для чего не используется

                                                                                              Ни для чего, кроме как для проксирования всего или части трафика. Я бы не рискнул. Тем более, что ручная настройка и так не длинная.
                                                                                              • 0

                                                                                                OK: curl -O https://selivan.github.io/socks.txt; less socks.txt; sudo bash socks.txt. Всё равно быстрее ручной настройки :)

                                                                                            • 0

                                                                                              А какие минусы взять инстанс на амазоне бесплатно на год?

                                                                                              • 0
                                                                                                амазон активно банят в России сейчас
                                                                                                • +1
                                                                                                  Ну как бы в том что РКН уже пол Амазона зобанел :)
                                                                                                  • 0
                                                                                                    ну если трафика хватит (15Gb вроде), то не верное минусов нету.
                                                                                                    P.S. ну еще минус, что сколько то миллионов IP c AWS уже заблокированы, а что дальше будет в этой войне неизвестно
                                                                                                  • 0
                                                                                                    Можно сократить до двух строчек:
                                                                                                    wget --no-check-certificate https://raw.github.com/Lozy/danted/master/install.sh -O install.sh
                                                                                                    bash install.sh --port=%port% --user=%login% --passwd=%password%
                                                                                                    
                                                                                                    • 0
                                                                                                      Я, когда был студентом, делал бесплатный прокси для общаг для аськи. :)
                                                                                                      • 0
                                                                                                        Дебианизированный SOCKS5 прокси Dante: https://cloud.mail.ru/public/5BQ5/nWrt4Y5vT

                                                                                                        Использует libpam-pwdfile (sudo apt install libpam-pwdfile), т.е. системного пользователя заводить не надо, файл с паролями /etc/dante/pwdfile в формате «username:hash» на строку. Для генерации хэша использовать mkpasswd -m sha-512 из пакета whois.

                                                                                                        Проверено на Ubuntu 16.04, на более новых может не работать. Порт и интерфейс поправьте по своему вкусу в конфиге.
                                                                                                        • 0
                                                                                                          наиболее на мой взгляд правильное решение. можно использовать и уже готовый модуль pam_userdb, тогда не нужно будет ставить дополнительный пакет. в дебиан 9 для работы обязательно добавить строчки socksmethod: pam.username, pam.servicename: danted в блок socks pass {...}. Подробнее описал тут.
                                                                                                        • +1

                                                                                                          Почему не использовать обычный ssh -D в паре с аутентификацией по ключу? Зачем эти пляски с бубном с непонятными сторонними приложениями?

                                                                                                          • 0
                                                                                                            Сделайте такое проксирование для не-IT начальника с айфоном и телеграмом :-)
                                                                                                            • +1

                                                                                                              Не сказал бы, что ЦА данной статьи — обычные домохозяйки =)
                                                                                                              Ну да лан, каждый хохочет как хочет )

                                                                                                          • 0
                                                                                                            Весь смысл статьи начинается с «Как и положено в мире информационной безопасности»
                                                                                                            Хорошая попытка Аладдин
                                                                                                            • +2
                                                                                                              Безопасный SOCKS5 прокси для Telegram за 0 Евро и 1 минуту:
                                                                                                              apt-get install tor
                                                                                                              echo "ExcludeExitNodes {RU}" >> /etc/tor/torrc
                                                                                                              • 0
                                                                                                                Вот так первый раз выкатишь, что-то стоящее, как ты думаешь, на суд общественности, словно крылья выросли, а тут… бац, камнем по морде и вниз!
                                                                                                                • 0
                                                                                                                  Сделал себе за несколько секунд при помощи этого скрипта
                                                                                                                  github.com/S-o-T/telegram-3proxy-install
                                                                                                                • 0
                                                                                                                  Dante работает отвратительно, на VPS с 1GB памяти с более-менее нагрузкой он не справится. 3proxy намного менее требователен к ресурсам, хотя и не совсем оптимально использует thread-ы.
                                                                                                                  • 0
                                                                                                                    Аруба за 1 евро. danted прописан на ~40 активных в единицу времени клиентах + 11 телеграм-ботах разной степени активности. Поднято два клиента OpenVPN, через которые 2 бота постят в два телегрм-канала и снимают с них статистику.
                                                                                                                    Кроме этого, на ВПС работает только Telegraf.

                                                                                                                    cpu — 14%, load average 15min — 0.165, memory used 7%
                                                                                                                    debian 9 x64
                                                                                                                    • 0
                                                                                                                      А разрешите вопрос, сколько клиентов одновременно может пользоваться прокси по одной связке логин-пароль? Как-то для каждого отдельно не хочется заводить отдельные данные для входа, один раз настроить и разослать ссылки.
                                                                                                                  • +1
                                                                                                                    Аруба скорость 4 mbit на cz, на итальянском печальнее.
                                                                                                                    Токо для серфинга
                                                                                                                    • 0
                                                                                                                      Вот и Арубу заблокировали :(
                                                                                                                      • 0
                                                                                                                        Не ожидал от представителя отрасли ИБ столь поверхностной статьи…
                                                                                                                        1. SOCKS5 при работе с Telegram не может без пароля в открытом виде (justabaka et al), это блок-фактор.
                                                                                                                        2. А как с обновлениями безопасности на саму систему, SSH и SOCKS? Ручками? Или думаем на пару месяцев вперёд?
                                                                                                                        3. Про мелочи вроде автозапуска коллеги уже высказались.
                                                                                                                        4. Про контроль использования сервиса (общие цифры: кто, сколько) тоже молчу.
                                                                                                                        Вывод: негоже столь неумело абузить больную тему.
                                                                                                                        Но минусовать не буду, автор: всё на Вашей совести.
                                                                                                                        • 0
                                                                                                                          Был сервак на Арубе DE1. Заблокировали…
                                                                                                                          • –1
                                                                                                                            Я просто оставлю это здесь (=
                                                                                                                            OpenVZ Mini (предпоследний конфиг в списке)

                                                                                                                            1 vCPU core
                                                                                                                            256MB RAM
                                                                                                                            256MB Swap
                                                                                                                            40GB HDD
                                                                                                                            Unmetered bandwidth 250Mbps
                                                                                                                            IPv4 NAT
                                                                                                                            1 VM per account
                                                                                                                            Blocked by China GFW
                                                                                                                            DDoS protection
                                                                                                                            Location — France
                                                                                                                            Setup time up to 24 hours

                                                                                                                            $2.99/год без ограничения по трафику :) Из минусов, из заявленных 250 Мбит/с у меня выдаёт 15-20, если верить Speedtest, и 30-40, если верить 2ip.ru, наверное, из-за расположения. Торренты качаются со скоростью 1.5 Мбайт/с. 1080p видео на Ютубе работают без тормозов. Сетапчик не самый сильный, но при такой стоимости…

                                                                                                                            Туда вполне себе можно поставить ВПН сервер с кучей всевозможного шифрования для домашнего пользования. И радоваться (=
                                                                                                                            • 0
                                                                                                                              IPv4 NAT

                                                                                                                              Ну, если у вас тут у провайдера есть белый IP, то там можно поставить OpenVPN в качестве клиента.
                                                                                                                            • 0
                                                                                                                              Там сейчас есть только OpenVZ Mini HK — 1 Year @ $11.99 (
                                                                                                                              • 0
                                                                                                                                Немного грустно признавать, но Вы правы. Выходит, удалили опцию, а для OpenVZ Mini HK скорость ниже и ограничение по трафику =(
                                                                                                                              • 0
                                                                                                                                Брал у них под VPN на год во Франции, все в целом было норм.
                                                                                                                                • 0
                                                                                                                                  Чтобы не быть голословным


                                                                                                                                  Я решил воспользоваться их услугами по рекомендации моего товарища sinpai, который доволен сервисом уже не один год. На данный момент могу сказать, что и у меня полёт нормальный.

                                                                                                                                  Примечательно, что конфиг исчез из списка через 2 дня после того, как был опубликован комментарий с линкой на OpenVZ Mini :) Можно предположить, что сервера по столь выгодному тарифному плану исчерпались. Спасибо тебе, мил человек, за минус.
                                                                                                                                • 0
                                                                                                                                  Эта строчка подымит на вашем сервере SOCKS proxy на порту 8888
                                                                                                                                  ssh -D 0.0.0.0:8888 -f -C -N user@localhost
                                                                                                                                  • 0
                                                                                                                                    git clone https://github.com/z3apa3a/3proxy
                                                                                                                                    cd 3proxy
                                                                                                                                    ln -s Makefile.Linux Makefile
                                                                                                                                    make
                                                                                                                                    make install

                                                                                                                                    и /etc/3proxy/add3proxyuser.sh чтобы добавить пользователей.
                                                                                                                                    • 0
                                                                                                                                      У себя запустили socks5 docker образ одной командой
                                                                                                                                      docker run --restart=always -d -p 5867:5867 -e PROXY_USER=SET_USER -e PROXY_PASSWORD=SET_PASSWORD -e PROXY_SERVER=0.0.0.0:5867 xkuma/socks5

                                                                                                                                      Итог: стабильно работаем две недели, никаких проблем, по аналитике ранчера смотрю, что ресурсы не ест вообще, только трафик скачет во время обмена сообщениями, занимает 4 мб памяти.
                                                                                                                                      • 0
                                                                                                                                        всё это ерунда учитывая, что происходит глобально в стране.
                                                                                                                                        это как покрасить волосы в белый, чтобы немцы не догадались что вы еврей. прокатит, да, но не надолго и дальше будет только хуже.
                                                                                                                                        • 0
                                                                                                                                          Настроил по данному гайду. Подскажите как автозапуск Dante реализовать после ребута.
                                                                                                                                          • 0
                                                                                                                                            Необходимо создать скрипт автозапуска и добавить его в /etc/rc.local
                                                                                                                                            Простая инструкция на сайте Ubuntu [Настройка скрипта автозапуска]
                                                                                                                                            Отмечу, что команда запуска будет именно
                                                                                                                                            /home/dante/sbin/sockd -f /home/dante/danted.conf -D
                                                                                                                                          • 0
                                                                                                                                            Купил я этот Aruba за 1 евро — только попробовать. После DO это какой-то позор — я не смог создать VPS — выдаёт ошибку системы. Служба поддержки ответила на итальянском через три дня, что моя проблема решена, но там опять появляется ошибка; интерефейс фризит. Из принципа запросил рефанд.
                                                                                                                                            • 0
                                                                                                                                              Рефанд не дали, саппорт молчит. Скам короче
                                                                                                                                            • –1

                                                                                                                                              Я "уверенный" пользователь ПК, всю жизнь проживший на Винде (как раз для таких "домохозяек", как я, и писался этот гайд). И честно — работать через убунту для меня боль. Ладно, я смирился, что при вводе пароля ssh тебе не вывоятся те же звёздочки — безопасность, хотя если ты совершил ошибку(двойное нажатие или не прожатие) — ты никак об этом не узнаешь, а удаляй либо вслепую, либо всё сразу и вводи заного. Ну ладно, не об этом речь. Дело в том, что Данте не отдаёт никаких отчётов об удачном выполнении команды: ну прописал я "/home/dante/sbin/sockd -f /home/dante/danted.conf -D", но как узнать, что команда выполнилась — догадайся сам. И именно из-за этого потратил кучу времени, ибо Данте не отдаёт ответа и не понять: включил/выключил я его или нет… Поэтому на всякий случай дать пометку о том, что Данте ответов не даёт, а так не способ проверки статуса Данте — включен он или нет? Ну и спасибо за внимание от креветки х)

                                                                                                                                              • 0
                                                                                                                                                Спасибо! Настроил свой сервер по вашей инструкции. Скажите, а можно ли его использовать для доступа на рутрекер или лукоморье, например? Когда я прописываю ip и порт в настройках firefox или IE. То просто не могу соединиться ни с одним сайтом, т.к. сервер не запрашивает авторизацию. Как быть? Подойдёт любой вариант. Вопрос «секьюрности» не стоит, если заключается исключительно в том, что кто-то может посмотреть адреса по которым хожу.
                                                                                                                                                • 0
                                                                                                                                                  Браузеры не могут в аутентификацию socks5 с логином/паролем. Можно использовать сторонний софт, например Proxifier, но по своему опыту скорость совсем грустная. Лучше для доступа к сайтам поднять vpn вместе с прокси.
                                                                                                                                              • 0
                                                                                                                                                Аруба банит целиком аккаунт, а не отдельную VPS. так что обратите внимание. Подержка у Aruba отвечает небыстро, а в тикет они пишут следующее:
                                                                                                                                                we have received complaints concerning the server in your name, it seems that activities which are not
                                                                                                                                                compliant with the Aruba Service Policy have been generated from said server.
                                                                                                                                                In accordance with article 10 of the contract, the Service has been suspended; we therefore ask you to verify the grounds of these complaints and, if required, take the necessary action also by checking the security of the applications.
                                                                                                                                                Please reply to this email, within the next 72 hrs, so we can verify if it is possible to activate the Service again.
                                                                                                                                                We remind you that by failing to reply, article 12.1 of the contract will be applied and the Service will be cancelled.
                                                                                                                                                Do not hesitate to contact us for any further information and support.
                                                                                                                                                Kind regards.

                                                                                                                                                Сейчас пытаюсь выяснить с какой VPS проблема конкретно — уже 4 часа молчание, все хосты в дауне. Хосты некоторые предоплачены на год, лишних 15 евро на аккаунте — против автобана это не поможет.

                                                                                                                                                Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.