La crescita del progetto Tor, il cui client e la cui rete “a cipolla” consentono agli utenti di navigare in internet in una forma realmente anonima (vale sempre la pena ricordare l’articolo introduttivo all’onion routing, tra i primi ad essere pubblicati su questo portale), ha dimostrato nel corso degli anni di avere una relazione stretta con Linux e l’open-source.

L’ultimo esempio diretto di cui abbiamo parlato lo scorso ottobre è stata la fusione in un’unica entità per la privacy e l’anonimato online con la distribuzione Linux Tails, ed oggi torniamo a raccontare la novità che risponde al nome di Oniux.

Oniux è un tool da linea di comando presentato pochi giorni fa e pensato per instradare in modo sicuro qualsiasi applicazione Linux attraverso la rete Tor, garantendo connessioni anonime e protette. Diversamente da approcci tradizionali come quello utilizzato da strumenti come torsocks, basati sullo user space, Oniux sfrutta i Linux namespaces per creare un ambiente di rete completamente isolato per ogni singola applicazione.

Questo significa che, anche in presenza di software malevoli o mal configurati, non ci sono rischi di fuoriuscita di dati, grazie a un isolamento forzato a livello di Kernel.

Per chi non lo sapesse, i Linux namespaces sono una funzionalità del Kernel che consente l’esecuzione di processi in ambienti isolati, ciascuno con la propria visione delle risorse di sistema, come rete, processi e filesystem, non a caso costituiscono da sempre uno dei tre pilastri dei container (gli altri due sono i CGroups e le immagini).

Oniux sfrutta appieno questa tecnologia: ogni applicazione viene inserita in un proprio namespace, dove non ha accesso diretto alle interfacce di rete dell’host. L’unico punto di contatto col mondo esterno è una virtual interface chiamata onion0, che instrada tutto il traffico attraverso Tor utilizzando onionmasq. A completare l’ambiente sicuro, Oniux imposta un file resolv.conf personalizzato per il DNS compatibile con Tor, e configura namespace utente e PID per garantire un setup con privilegi minimi e un ulteriore livello di isolamento.

Per semplificare potremmo dire che Oniux containerizza le applicazioni in modalità live.

Inoltre questo approccio offre un tipo di anonimato e protezione che strumenti come torsocks non possono garantire. Quest’ultimo, infatti, si limita a intercettare le chiamate di rete tramite un preload di libreria (LD_PRELOAD) e a ridirigerle su un proxy SOCKS di Tor, ma non può catturare le chiamate di sistema raw, né funziona con binari statici. Inoltre, torsocks non isola realmente le applicazioni, che continuano a vedere e potenzialmente usare le interfacce di rete reali dell’host.

Nonostante i chiari vantaggi di Oniux – come il supporto a qualsiasi tipo di applicazione, la scrittura in Rust, l’uso del nuovo motore Arti, e l’assenza di dipendenza da un demone Tor separato – il progetto resta ancora sperimentale. Tor ne raccomanda dunque un uso prudente, evitando scenari critici, e invita la comunità di utenti a testarlo, segnalando eventuali problemi per contribuire alla sua maturazione.

Per chi desidera provarlo, è necessario disporre di Rust sul proprio sistema Linux e installare Oniux con il comando cargo install --git https://gitlab.torproject.org/tpo/core/oniux oniux@0.4.0. Tra gli esempi d’uso proposti ci sono l’accesso a siti .onion tramite oniux curl, l’avvio di una shell torificata con oniux bash, o l’esecuzione di applicazioni grafiche attraverso Tor, come oniux hexchat.

Al netto dello status di “esperimento” non si può fare a meno di notare come Oniux sia l’ennesimo esempio di come, in Linux e nell’open-source, libertà faccia rima con privacy.