The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Вышел Liberte Linux 2012.3, первый дистрибутив с поддержкой режима безопасной загрузки UEFI

02.09.2012 22:18

Увидел свет LiveUSB-дистрибутив Liberté Linux 2012.3, построенный на основе Gentoo Linux (Hardened), отличающийся повышенной защищенностью и предназначенный для скрытной работы и анонимного использования в не вызывающем доверие сетевом окружении. Дистрибутив в одно нажатие устанавливается на USB-накопитель и в дальнейшем может использоваться для загрузки на любом компьютере. Для защиты от перехвата трафика вся сетевая активность осуществляется через анонимную сеть Tor. Размер загрузочного образа 213 Мб.

Liberte Linux 2012.3 является первым дистрибутивом Linux в котором обеспечена поддержка режима безопасной загрузки UEFI, что позволяет добиться полной верификации всех компонентов дистрибутива, но только взаимодействующих с оборудованием и обеспечивающих загрузку ОС. Например, помимо формирования подписи для загрузчика GRUB, файлов конфигурации GRUB, ядра Linux и всех загружаемых ядром драйверов и модулей, предусмотрена возможность проверки и сжатого образа корневой ФС (rootfs).

Таким образом гарантируется неизменность всех составных частей live-дистрибутива, защищая пользователя от подмены данных и включения закладок при установке на USB-накопитель или жесткий диск. Для формирования подписи используется собственный набор ключей, которые нужно загрузить в прошивку UEFI. Так как все ключи доступны пользователям (могут быть сгенерированы пользователем) не возникает проблем с нарушением лицензии GPLv3 в GRUB2, запрещающей тивоизацию. Примечательно, что при отсутствии поддержки безопасной загрузки UEFI оборудованием, стадия проверки целостности корневой ФС выполняется дистрибутивом и при загрузке с использованием обычного BIOS.

Особенности организации работы дистрибутива:

  • Десктоп-окружение основано на LXDE и GTK+ с легковесным набором приложений, работающих без использования GNOME/KDE.
  • Все изменения конфигурации, сделанные в процессе работы в дистрибутиве, сохраняются в специальном OTFE-разделе. В процессе загрузки, кроме ввода пароля для виртуального OTFE-диска, от пользователя не требуется никаких действий;
  • Все приложения сконфигурированы и готовы к использованию. Дистрибутив достаточно легко переконфигурируется для собственных нужд, поэтому при желании можно оформить вариант Liberté Linux с собственным набором программ;
  • Все приложения собраны с использованием инструментария сборки проекта Gentoo Hardened, который включает такие патчи, как SSP (Stack Smashing Protection, защита от переполнения стека и буфера) и ASLR (рандомизация распределения памяти). Ядро собрано с улучшениями от проекта PaX;
  • Пакетный фильтр по умолчанию настроен на блокирование всех входящих и исходящих пакетов, за исключением трафика DHCP, DNS, NTP и Tor;
  • Максимально урезаны передаваемые по DHCP параметры, блокируется передача имени хоста, ARP и IPv4LL. Для обеспечения приватности в Wifi-сетях MAC-адрес для беспроводного интерфейса генерируется случайным образом. Так как для регистрации в некоторых Wifi-сетях необходим прямой вход браузером, в Liberté предусмотрена возможность отдельного запуска браузера от обособленного пользователя, который имеет доступ только к DNS и портам типовых сервисов web-регистрации;
  • Root-консоль доступна только в течение двух минут после загрузки. После ввода стандартного пароля в процессе загрузки, аккаунт суперпользователя блокируется (т.е. войти в систему можно только один раз, для повторного входа нужна перезагрузка);
  • Почти все системные процессы сбрасывают root-привилегии сразу после инициализации, включая, процессы Tor, Privoxy, NTP, HTP, D-Bus, и nscd.
  • Сохраняемые между сессиями пользовательские данные держатся на USB-диске на специальном зашифрованном виртуальном разделе, размер которого расширяется динамически;
  • Внезапное вытаскивание USB-накопителя из компьютера немедленно приводит к инициированию выключения питания. В процессе выполнения завершения работы в штатном режиме вся память очищается с целью защиты от атак методом холодной перезагрузки.

Изменения в новой версии:

  • Используемые для загрузки EFI исполняемые файлы (загрузчик GRUB, ядро Linux и т.п.) подписаны для обеспечения поддержки режима безопасной загрузки (Secure Boot);
  • Обновление ядра Linux до версии 3.4.7. Для организации записи поверх доступной только на чтение основы вместо Unionfs задействована ФС Overlayfs;
  • Обновление графического стека (X.org server 1.12 и Mesa 8.0). Для карт Radeon задействован одноимённый Gallium3D-драйвер, а для карт NVIDIA драйвер nouveau;
  • Упрощена обработка параметров загрузки. Добавлены новые параметры "blacklist" для отключения автозагрузки модулей ядра; "bridges" для указания точек подключения к сети Tor; "gentoo=noanon" для отмены анонимного режима (перенаправление всего трафика через Tor)'
  • В состав включена утилита reaver-wps для проверки безопасности WiFi сетей;
  • В GnuPG добавлена поддержка PKCS#11;
  • Проведена унификция визуальных тем для GTK-2 и GTK-3.


  1. Главная ссылка к новости (http://forum.dee.su/#Topic/656...)
  2. OpenNews: Доступен BackTrack 5 R2, Live-дистрибутив для исследования безопасности систем
  3. OpenNews: Опубликован новый план реализации поддержки режима безопасной загрузки UEFI в Ubuntu
  4. OpenNews: На базе qemu-kvm обеспечена поддержка эмуляции UEFI SecureBoot
  5. OpenNews: Лидер проекта OpenBSD выступил с критикой добавления поддержки режима безопасной загрузки UEFI в Ubuntu и Fedora
  6. OpenNews: Озвучены планы по поддержке в SUSE режима безопасной загрузки UEFI
Лицензия: CC-BY
Тип: Программы
Ключевые слова: linux, gentoo, security, privacy, liberte
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение (57) Ajax/Линейный | Раскрыть все сообщения | RSS
 
  • 1.1, Аноним (-), 00:13, 03/09/2012 [ответить] [показать ветку] [····]    [к модератору]
  • +4 +/
    > First Linux distribution released with UEFI Secure Boot-based trusted boot sequence.

    А вы "Fedora, Ubuntu..."

     
     
  • 2.8, Vascom (?), 11:20, 03/09/2012 [^] [ответить]    [к модератору]
  • –1 +/
    В Fedora ненужно будет устанавливать ключи в прошивку UEFI. Всё сразу будет работать.
     
     
  • 3.19, Рыба (?), 16:30, 03/09/2012 [^] [ответить]    [к модератору]
  • +4 +/
    Нужно. Просто за пользователя их туда установит микрософт с сообщниками.
    Не лучше ли самому определять кому твоё же оборудование будет доверять?
     
     
  • 4.32, loglog (?), 23:24, 03/09/2012 [^] [ответить]    [к модератору]
  • +/
    >В Fedora ненужно будет устанавливать ключи в прошивку UEFI. Всё сразу будет работать.
    >>Нужно. Просто за пользователя их туда установит микрософт с сообщниками.
    >>Не лучше ли самому определять кому твоё же оборудование будет доверять?

    Им не понять. Проще громче кричать. Микрософт это наше все! )) И производители тоже не будут заморачиваться на "ключах потребителя"... Китайские планшеты вон не имеют AndroidID (точнее имеют пару на всех)

     
  • 1.2, Аноним (-), 00:40, 03/09/2012 [ответить] [показать ветку] [····]    [к модератору]
  • –5 +/
    >Пакетный фильтр по умолчанию настроен на блокирование всех входящих и исходящих пакетов, за исключением трафика DHCP, DNS, NTP и Tor;

    Вообще-то, dhcp-клиент (dhcp-сервер, впрочем, тоже) работает уровнем ниже iptables и от правил для 67 портов ему ни горячо, ни холодно.

     
     
  • 2.4, ABATAPA (ok), 08:00, 03/09/2012 [^] [ответить]    [к модератору]  
  • +/
    Бред.
     
     
  • 3.5, Анонимец (?), 08:35, 03/09/2012 [^] [ответить]    [к модератору]  
  • –3 +/
    Не совсем так. iptables работает только с IP пакетами, в то время как dhcp клиенты/серверы в своей работе используют сырые сокеты, не задействую IP стэк.
     
     
  • 4.44, Аноним (-), 18:53, 05/09/2012 [^] [ответить]    [к модератору]  
  • +/
    > Не совсем так. iptables работает только с IP пакетами, в то время
    > как dhcp клиенты/серверы в своей работе используют сырые сокеты, не задействую
    > IP стэк.

    Попробуйте зафильтровать порты 67/68 UDP и расскажите как понравился результат :)

     
     
  • 5.54, Аноним (-), 22:49, 06/09/2012 [^] [ответить]    [к модератору]  
  • +/
    Зафильтровано и работает. Дальше что?
     
  • 3.9, anonymous (??), 11:50, 03/09/2012 [^] [ответить]    [к модератору]  
  • +/
    > Бред.

    Попробуйте зафильтровать dhcp и удивитесь. raw-сокеты iptables'ом не фильтруются.

     
     
  • 4.10, bircoph (ok), 12:03, 03/09/2012 [^] [ответить]    [к модератору]  
  • +/
    А почему у меня фильтруются?
     
     
  • 5.17, Аноним (-), 14:47, 03/09/2012 [^] [ответить]    [к модератору]  
  • +4 +/
    > А почему у меня фильтруются?

    Потому что вы где-то слажали и что-то перепутали.

     
     
  • 6.26, Andrey Mitrofanov (?), 22:32, 03/09/2012 [^] [ответить]    [к модератору]  
  • +/
    > Потому что вы где-то слажали и что-то перепутали.

    Наши на болоте "аплодируют стоя"тм. Достойная смена ростет.

     
  • 5.33, Аноним (-), 23:33, 03/09/2012 [^] [ответить]    [к модератору]  
  • +/
    > А почему у меня фильтруются?

    Счетчики в iptables, небось, смотрите? Известная ошибка людей, считающих, что то, что было вычитано с raw sockets не пойдет на верхние уровни.
    Да, до iptables пакеты дойдут и он может их даже заблокировать, да только поздно, ибо dhcp-клиент/сервер уже успели считать/послать их уровнем ниже. Потому-то подобные правила фаервола и бесполезны в Liberte Linux.

     
  • 3.40, Andrey Mitrofanov (?), 21:58, 04/09/2012 [^] [ответить]    [к модератору]  
  • +/
    > Бред.

    Зато сколько брызг!>

     
  • 2.15, oxyum (ok), 14:37, 03/09/2012 [^] [ответить]    [к модератору]  
  • +1 +/
    man ebtables
     
     
  • 3.16, Аноним (-), 14:42, 03/09/2012 [^] [ответить]    [к модератору]  
  • +/
    И? Ещё man ipfw предложите, только при чём тут фильтрация raw сокетов в iptables?
     
     
  • 4.27, Andrey Mitrofanov (?), 22:33, 03/09/2012 [^] [ответить]    [к модератору]  
  • +1 +/
    > И? Ещё man ipfw предложите, только при чём тут фильтрация raw сокетов
    > в iptables?

    Не останавливайся! Надеюсь, для росоктов и сетевая карта не нужна?!

     
  • 4.35, Аноним (-), 07:53, 04/09/2012 [^] [ответить]    [к модератору]  
  • +/
    откуда вы лезете? заткните кто-нибудь эту адскую дыру
     
  • 3.31, Аноним (-), 23:23, 03/09/2012 [^] [ответить]    [к модератору]  
  • +/
    А где речь про ebtables шла? Суть-то в том, что в обсуждаемом дистрибутиве без необходимости дырявятся порты через iptables.

    4All:
    И вот еще вам, фомам неверующим, ссыль "на почитать"
    http://www.mail-archive.com/netfilter@lists.samba.org/msg03907.html

     
     
  • 4.39, Andrey Mitrofanov (?), 21:57, 04/09/2012 [^] [ответить]    [к модератору]  
  • +3 +/
    > 4All:
    > И вот еще вам, фомам неверующим, ссыль "на почитать"
    >/www.mail-archive.com/netfilter@lists.samba.org/msg03907.html

    Слюшь, все виденные мною клиенты dhcp успешно фильтровались нетфильтром. Если у вас там, в 2002-ом всё по-другому -- запишись в группу анонимных разкриокамерленных и не морочь людям голову. (и селёдку купи, да)

     
  • 2.21, Аноним (-), 17:29, 03/09/2012 [^] [ответить]    [к модератору]  
  • +/
    >dhcp-клиент (dhcp-сервер, впрочем, тоже) работает уровнем ниже iptables

    С каких это пор?

     
     
  • 3.34, Аноним (-), 23:37, 03/09/2012 [^] [ответить]    [к модератору]  
  • +1 +/
    >>dhcp-клиент (dhcp-сервер, впрочем, тоже) работает уровнем ниже iptables
    > С каких это пор?

    С тех самых, когда dhcp-софт стал использовать raw-сокеты (считайте, что с самого начала).
    Сами подумайте, как можно работать с IP (и уж тем более с UDP), не имея настроенного интерфейса? Потому и приходится изворачиваться с сырыми сокетами, реализуя необходимую поддержку протоколов вышестоящих уровней самим.

     
     
  • 4.43, anonymous (??), 16:42, 05/09/2012 [^] [ответить]    [к модератору]  
  • +/
    > Сами подумайте, как можно работать с IP (и уж тем более с
    > UDP), не имея настроенного интерфейса? Потому и приходится изворачиваться с сырыми
    > сокетами, реализуя необходимую поддержку протоколов вышестоящих уровней самим.

    Можно работать и работает же. Интерфейс есть, нет IP-адреса. Ну так и запрос уходит с обратным адресом 0.0.0.0 (то есть отсутствующим) на адрес 255.255.255.255 (то есть броадкаст).

     
     
  • 5.53, Аноним (-), 19:50, 06/09/2012 [^] [ответить]    [к модератору]  
  • +/
    >> Сами подумайте, как можно работать с IP (и уж тем более с
    >> UDP), не имея настроенного интерфейса? Потому и приходится изворачиваться с сырыми
    >> сокетами, реализуя необходимую поддержку протоколов вышестоящих уровней самим.
    > Можно работать и работает же. Интерфейс есть, нет IP-адреса. Ну так и
    > запрос уходит с обратным адресом 0.0.0.0 (то есть отсутствующим) на адрес
    > 255.255.255.255 (то есть броадкаст).

    Ты не сможешь через AF_INET-сокет отправить ни одного пакета, если у тебя нет адреса на интерфейсе. Можно в таком случае заюзать лишь AF_PACKET, но в таком случае пакет пойдет мимо iptables. То же самое и с приемом пакетов.

     
  • 4.45, Аноним (-), 19:02, 05/09/2012 [^] [ответить]    [к модератору]  
  • +/
    > Сами подумайте, как можно работать с IP (и уж тем более с
    > UDP), не имея настроенного интерфейса?

    Вот так вот и работает - рассылая пакеты броадкастом. Ну что за люди, ман на протокол уже почитать ломаются до того как свои левые измышлизмы втирать.

     
     
  • 5.50, saNdro (?), 21:02, 05/09/2012 [^] [ответить]    [к модератору]  
  • +/
    да что ман на протокол. они похоже про броадкаст не знают. а это парой "уровней пониже" знания прикладного протокола.
     
     
  • 6.52, Аноним (-), 19:46, 06/09/2012 [^] [ответить]    [к модератору]  
  • +/
    > да что ман на протокол. они похоже про броадкаст не знают. а
    > это парой "уровней пониже" знания прикладного протокола.

    Код оправляющий broadcast-пакет через AF_INET/SOCK_DGRAM сокет с определенного несконфигурированного интерфейса в студию.
    Подсказка: это невозможно.

     
  • 2.42, anonymous (??), 16:36, 05/09/2012 [^] [ответить]    [к модератору]  
  • +/
    > Вообще-то, dhcp-клиент (dhcp-сервер, впрочем, тоже) работает уровнем ниже iptables и от
    > правил для 67 портов ему ни горячо, ни холодно.

    Не ну бред же. Читаем RFC 2131 (http://tools.ietf.org/html/rfc2131):
    DHCP uses UDP as its transport protocol.  DHCP messages from a client
       to a server are sent to the 'DHCP server' port (67), and DHCP
       messages from a server to a client are sent to the 'DHCP client' port
       (68).

     
     
  • 3.51, Аноним (-), 19:33, 06/09/2012 [^] [ответить]    [к модератору]  
  • +1 +/
    DHCP-софт использует свою реализацию IP и UDP поверх raw sockets, не полагаясь на системные.
     
  • 1.3, Aktis (?), 01:39, 03/09/2012 [ответить] [показать ветку] [····]    [к модератору]  
  • +6 +/
    Дистрибутив профессионального революционера ;)
     
     
  • 2.58, Fyjybv (?), 10:42, 20/09/2012 [^] [ответить]    [к модератору]  
  • +/
    Настоящего - Whonix
    https://github.com/adrelanos/Whonix
     
  • 1.6, Анонимъ (?), 09:58, 03/09/2012 [ответить] [показать ветку] [····]    [к модератору]  
  • +/
    А если в сети нету ТОЯ?
     
  • 1.7, 1q2w3e (?), 11:09, 03/09/2012 [ответить] [показать ветку] [····]    [к модератору]  
  • –4 +/
    Параноики ликуют!
     
     
  • 2.13, Аноним (-), 14:09, 03/09/2012 [^] [ответить]    [к модератору]  
  • +3 +/
    >Параноики ликуют!

    И судя по этому http://14prog.ru/main/from-life.aspx совсем не зря.

     
     
  • 3.24, Прохожий (??), 21:39, 03/09/2012 [^] [ответить]    [к модератору]  
  • –2 +/
    WOT не одобряет :(
     
     
  • 4.29, Аноним (-), 23:06, 03/09/2012 [^] [ответить]    [к модератору]  
  • +4 +/
    >WOT не одобряет :(

    Надобно смотреть, щито конкретно там не одобряется.

    mywot.com/ru/scorecard/14prog.ru

    >As per today 14prog.ru is detected as a spam sending domain or is missused as a spam server.

    Это конечно несерьёзно, хотя проверимся

    virustotal.com/url/9822caa6350b84b32d7fdfab70ed5dab208e61a36609b3e6ae19502ea9523c0b/analysis/

     
  • 3.46, Аноним (-), 19:04, 05/09/2012 [^] [ответить]    [к модератору]  
  • +/
    > И судя по этому http://14prog.ru/main/from-life.aspx совсем не зря.

    Особенно иронично выглялит сайт с aspx :)

     
  • 1.12, влад (?), 14:01, 03/09/2012 [ответить] [показать ветку] [····]    [к модератору]  
  • +/
    tor, это тот, который подозревается в том, что у него спецслужбы на выходных узлах?

    только выделенный сервер и шифрованный канал до него помогут.

     
     
  • 2.14, Аноним (-), 14:16, 03/09/2012 [^] [ответить]    [к модератору]  
  • +6 +/
    > tor, это тот, который подозревается в том, что у него спецслужбы на
    > выходных узлах?

    Что толку им от этого, если между подобным экзитом и Ваней всегда два произвольно выбираемых промежуточных узла? Но необходимости в оконечном шифровании Тор конечно не отменяет, это да...

     
     
  • 3.18, анноним (?), 16:26, 03/09/2012 [^] [ответить]    [к модератору]  
  • +/
    Что толку им от этого, если между подобным экзитом и Ваней всегда два произвольно выбираемых промежуточных узла?

    ... произвольно выбираемых из числа все тех же меченых.

     
     
  • 4.22, Аноним (-), 18:56, 03/09/2012 [^] [ответить]    [к модератору]  
  • +2 +/
    >произвольно выбираемых из числа все тех же меченых

    Такой мутации этого слуха еще не встречал ) Хотя, может статься в скором будущем и такое приблизится к реальности, если продолжат так прикручивать гайки, как крутят сейчас по всему миру под предлогом угрозы терроризма и в.т.прочего...

     
     
  • 5.25, анноним (?), 22:25, 03/09/2012 [^] [ответить]    [к модератору]  
  • +/
    >>произвольно выбираемых из числа все тех же меченых
    > Такой мутации этого слуха еще не встречал )

    Да нет, просто вызывает сомнение реальное количество релеев на серверах энтузиастов. Скорее, большая их часть поддерживается централизовано. Тем более, что сегодня - это просто смешные деньги.

     
     
  • 6.30, anonymous (??), 23:20, 03/09/2012 [^] [ответить]    [к модератору]  
  • +1 +/
    >Скорее, большая их часть поддерживается централизовано.

    Для того, чтобы в сети tor однозначно идентифицировать получателя все хосты в цепочке должны быть "мечеными". Большенство - этого точно не гарантирует.

    >вызывает сомнение реальное количество релеев на серверах энтузиастов

    Ну, повысте его. Запустите у себя транзитный сервер ;)

     
     
  • 7.37, анноним (?), 13:42, 04/09/2012 [^] [ответить]    [к модератору]  
  • +/
    > все хосты в
    > цепочке должны быть "мечеными". Большенство - этого точно не гарантирует.

    Один-два можно вытряхнуть совсем другими методами. Ну это, если правда залезет парочка настоящих. %)

    >>вызывает сомнение реальное количество релеев на серверах энтузиастов
    > Ну, повысте его. Запустите у себя транзитный сервер ;)

    Специально отключил. :D


     
  • 6.55, Аноним (-), 11:53, 08/09/2012 [^] [ответить]    [к модератору]  
  • +3 +/
    >Да нет, просто вызывает сомнение реальное количество релеев на серверах энтузиастов.

    Думаете, что из приблизительно 10 млрд тел не могло найтись каких-то трех тысяч желающих поднять у себя публичную ноду? На мой взгляд их и так исчезающе мало...

     
     
  • 7.56, Аноним (-), 12:02, 08/09/2012 [^] [ответить]    [к модератору]  
  • +1 +/
    Кстати, и расширение сети по характеру вполне себе эволюционно
    https://metrics.torproject.org/network.html?graph=networksize&start=2009-06-10
     
  • 5.41, Аноз (?), 12:38, 05/09/2012 [^] [ответить]    [к модератору]  
  • +/
    >> если продолжат так прикручивать гайки, как крутят сейчас по всему миру под предлогом угрозы терроризма

    А что/кто им помешает?

     
     
  • 6.49, Аноним (-), 19:38, 05/09/2012 [^] [ответить]    [к модератору]  
  • +1 +/
    - Совесть - И в этот момент раздался гомерический хохот на галерке.
     
  • 1.20, Аноним (-), 17:27, 03/09/2012 [ответить] [показать ветку] [····]    [к модератору]  
  • +/
    А чем подписаны, то? Ключом Microsoft? Или своим, который надо будет ещё в материнку вбивать?
     
     
  • 2.36, VldK (ok), 09:37, 04/09/2012 [^] [ответить]    [к модератору]  
  • +/
    Не читатель?
    "Для формирования подписи используется собственный набор ключей, которые нужно загрузить в прошивку UEFI. Так как все ключи доступны пользователям (могут быть сгенерированы пользователем) не возникает проблем с нарушением лицензии GPLv3 в GRUB2, запрещающей тивоизацию."
     
  • 2.47, Аноним (-), 19:06, 05/09/2012 [^] [ответить]    [к модератору]  
  • +/
    > в материнку вбивать?

    Да, кувалдометром вколачивать. Извините, не удержался :)

     
  • 1.23, Клим (?), 19:07, 03/09/2012 [ответить] [показать ветку] [····]    [к модератору]  
  • +1 +/
    да какой же это Liberte, если UEFI?
     
     
  • 2.28, Andrey Mitrofanov (?), 22:37, 03/09/2012 [^] [ответить]    [к модератору]  
  • –1 +/
    > да какой же это Liberte, если UEFI?

    там же написано "защищенного" !! сам балмер защищат!!1

     
  • 2.38, ызусефещк (?), 19:08, 04/09/2012 [^] [ответить]    [к модератору]  
  • +/
    А на биосе либерте?
     
  • 2.48, Аноним (-), 19:06, 05/09/2012 [^] [ответить]    [к модератору]  
  • +/
    > да какой же это Liberte, если UEFI?

    Вот такое вот хреновое лето (с) анекдот.

     
  • 1.57, tux2002 (ok), 17:13, 08/09/2012 [ответить] [показать ветку] [····]    [к модератору]  
  • +/
    Всё, нафиг, головная боль...
    Дайте мне переключатель ro на диск и больше мне ничего не надо!


     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:


    Закладки на сайте
    Проследить за страницей
    Created 1996-2019 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру
    Hosting by Ihor