Я подумываю об установке Tor на свой сервер (работающий под управлением CentOS), но я читал, что в нем есть некоторые уязвимости, которые можно использовать удаленно.
Может кто-нибудь подскажет, как настроить его для максимальной безопасности? и как заставить его никогда не работать как ретранслятор и принимать только локальные соединения (например, из скриптов php с использованием curl).
Даже если нет известный наличие уязвимостей в программном обеспечении, что не означает, что в этом программном обеспечении нет уязвимостей. Нет волшебного ответа на дилемму, treasmix, если вы хотите, чтобы на вашем сервере был Tor (или любое другое программное обеспечение), тогда вам нужно сбалансировать силу риска и силу вашей потребности.
Если вы посмотрите на примечания к выпуску / историю безопасности продукта и обнаружите, что определенный тип уязвимости возникает снова и снова, то это мощь быть индикатором того, что приложение представляет собой более высокий риск в определенных областях и что кодировщики не будут (или не могу) переписать код, чтобы усложнить его использование. Но даже отсутствие плохой истории безопасности не означает, что риска нет. Рано или поздно дело сводится к подписке на их список рассылки по безопасности / RSS-канал / Twatter-канал и надежду на лучшее.
Вот ссылка на документация - ответит на все ваши вопросы.
знаете ли вы, есть ли в последней версии уязвимости, о которых мне следует знать?
Извините, возможно, я ошибался - похоже, вам нужно немного просмотреть torproject.org, чтобы найти трекер ошибок и вики.
За исключением мониторинга сотен сайтов, связанных с безопасностью, собственное средство отслеживания ошибок проекта tor будет лучшим местом для просмотра известных ошибок (хотя мониторинг таких сайтов, как linuxsecurity.comRSS-каналы не помешают).
Было бы разумно просто предположить, что он уязвим или будет уязвимым. Запустите его в наиболее ограниченном доступном вам контейнере.
Для того, чтобы: