Установка и настройка ОС Whonix часть 1
https://t.me/new_infonetWhonix - это дистрибутив, который базируется на Debian и при этом состоит из двух частей. Когда я говорю "из двух частей", я имею в виду, что для работы Whonix необходимы две виртуальные машины. Первая - это шлюз (Whonix Gateway), который работает только через Tor и Торифицирует абсолютно весь траффик, а вторая - полностью изолированная рабочая станция (Whonix Workstation), настроенная таким образом, что подключается только к шлюзу и берет интернет только оттуда.
Таким образом, абсолютно все приложения, запущенные на рабочей станции пускают свой траффик через Tor, потому что Workstation берет интернет с Gateway. При этом Workstation не знает свой реальный IP адрес, и если рабочую станцию взломают, злоумышленник так и не сможет узнать ваш реальный IP адрес.
Из особенностей Whonix можно выделить также то, что каждое предустановленные в нем приложение работает на отдельном Socks-порту, что означает, что для каждого такого приложения создается отдельная цепочка из узлов Tor. Whonix отлично защищен от утечек DNS. У Whonix хорошая защита от идентификации пользователя при помощи так называемого Fingerprinting.
Ходит миф, что Tails является самой анонимной ОС, которую когда-либо придумывали. Хочу сказать, что Whonix ничем не хуже в этом плане, а в некоторых моментах даже значительно превосходит.
Tails и Whonix. Оба дистрибутива (или ОС, называйте как хотите) создавались с уклоном в анонимность и безопасность пользователей. И Whonix, и Tails действительно очень хороши и прекрасно выполняют свои функции.
Если не углубляться до технических особенностей каждого из дистрибутивов, то для типичного пользователя принципиальной разницей между ними будет то, что Tails предназначен для использования с USB-FLash накопителе (не рекомендуется ставить на виртуалку), а Whonix в большенстве случаев ставится на виртуалку. А также то, что Tails является "Amnestic", то есть все забывает после перезагрузки, а Whonix нет. Еще одним не мало важным отличием является то, что Whonix более гибок в настройке в принципе, а в настройках различных "Цепочек Анонимностей" в частности, тут тебе и VPN -> Tor, и VPN -> Tor -> VPN, и VPN - Tor -> Proxy/SSH и еще можно много чего придумать. В Tails, такого сделать нельзя. В Tails весь траффик идет сразу через Тор, и, например, поставить VPN перед Тор уже не получится, только после.
Tails очень удобен, если нужно быстренько воткнуть Флешку, зайти в Интернет, что-то где-то написать и выключить. Для продолжительной работы в Интернете его очень не удобно использовать, чего не скажешь о Whonix.
Конечно можно Tails настроить таким образом, что он не будет забывать нужные вам установленные приложения, конфигурационные файлы, всякие настройки и так далее, но зачем делать такие костыли?
Способы установки Whonix
1) Whonix на вируальной машине. В этой статье будет разобран именно этот способ. Это самый простой и распространенный способ поставить себе Whonix. Программой виртуализации у нас будет VirtualBox. В качестве Host OS может использоваться чуть ли не любая операционная система.
2) Qubes-Whonix. Это второй, тоже довольно распространенный способ пустить траффик через Whonix. В качестве хостовой операционной системы используется так называемый Qubes OS, а Whonix-Gateway ставится как виртуалка через встроенные средства виртуализации в Qubes OS.
3) Виртуализация KVM. Третий способ ставить Whonix. Используется виртуализатор qemu-kvm или подобное.
4) Возможно физическое разделение виртуальных машин Whonix Workstation и Whonix Gateway
Как установить Whonix
Для начала нужно скачать VirtualBox. Теперь идем на сайт Whonix и скачиваем два образа ".ova" - Whonix Gateway и Whonix Workstation. С этой страницы скачиваем образы: Образы для VirtualBox. По ссылкам "Download Whonix-Gateway" и "Download Whonix-Workstation".
Открываем виртуалбокс, жмем File -> Import Appliance. Выбираем скаченный образ Whonix Gateway, жмем "Далее". Появится окошко с настройками, все оставляем по-умолчанию, кроме графы RAM, эту графу по желанию можно изменить. Жмем "Import" и ждем.
Точно такую же операцию проделываем для Whonix Workstation. Лично я для Whonix Workstation выделяю обычно не меньше 1024mb RAM (если есть возможность, выделяйте побольше гига), а для первого запуска Whonix Gateway оставляю по-умолчанию (768mb).
Теперь у нас в нашем виртуалбоксе появились две виртуальные машины, но мы их пока не запускаем. Немного настроим. Жмем на виртуалку, потом "Настройки", переходим на вкладку "System". Тут мы должны поменять порядок загрузки и снять лишние галочки. Выбираем "Hard Disk" и стрелочками перемещаем его на первую строку, "Optical" - на вторую строку. Снимаем галочки с "Floppy" и "Optical", оставляем только на "Hard Disk". Теперь переходим во вкладку "Storage", там на Контроллере ставим галочку "Use Host I/O Cache". Точно такую же операцию проделываем и со второй виртуалкой.
Как запустить Whonix
Запускаем GW (Gateway) и WS (Workstation). Порядок запуска таков: сначала Gateway, затем Workstation.
Перед нами сразу появится окно, дважды жмем "Understood" (но сначала читаем!). На GW должно быть отмечено "Iam Ready to Enable Tor", ждем "Next" несколько раз, потом "Yes. Automatically install updates from the Whonix team", жмем "Next", выбираем "Whonix Stable Repository" (рекомендую выбирать именно это) и далее до конца. На WS все аналогично. Теперь на обеих виртуалках автоматически должен запуститься так называемый whonixcheck.
Когда whonixcheck прошел, он покажет "Warning", где будет ругаться на то, что система не обновлена.
На обеих виртуалках открываем эмулятор терминала Konsole с ярлыка на рабочей столе.
На обеих VM вводим
sudo apt-get update && sudo apt-get upgrade -y && sudo apt-get dist-upgrade -y
Спросит пароль.
Стандартный логин - user
Пароль от user - changeme
Пароль от root - changeme
Позже мы поменяем пароль. Вводим пароль -> сидим с открытым ртом и ждем пока закончится обновление, процесс не быстрый. Обновление может прерваться по неизвестным причинам, если это случилось, повторно вводите команду выше, процесс продолжится.
Если все прошло окей, то повторно запускаем whonixcheck - вводим в терминале whonixcheck или запускаем с ярлыка на рабочем столе WhonixCheck. Лично я предпочитаю делать whonixcheck в терминале. Смотрим, чтоб не было "Warning". Если есть "Warning" в том же месте что и в прошлый запуск, то возвращаемся на абзац выше и обновляем систему. Если нет "Warning", то идем дальше.
Теперь на Workstation нам нужно скачать/обновить Тор Браузер. Запукаем Tor Browser Downloader с ярлыка на раб. столе или вводим update-torbrowser в терминале. Начнется процесс, вам будет предложено выбрать версию Тор Браузера для скачивания, 6.0.7 и остальные. Версия 6.0.7 - стабильная версия, все остальные версии - тестинг или девелоперс. Я ставлю 6.0.7, вы ставите что хотите (лучше стабильную). В случае если программа была запущена с ярлыка на раб. столе, отметьте нужную версию кружочком (радиобаттон), в случае запуска скрипта через терминал, введете нужную версию вручную, как только предложат это сделать (в моем случае я ввел "6.0.7") и жмете интер. После скачивания, вам будет предложено установить его, жмете кнопку 'Yes' или вводите "y" в терминале и жмете интер. Версия "6.0.7" актуальна на момент написания статьи.
Меняем стандартный пароль. Открываем терминал, вводим
sudo -i
Водим пароль, теперь мы работаем из под root. Меняем пароль, сначала для root
passwd root
Дважды вводим пароль. Теперь пароль от root поменялся. Теперь для user
passwd user
Дважды вводим пароль. Теперь пароль от user поменялся. Теперь вводим exit.
Желательно чтобы пароль от root и от user были разные. Данную операцию можно проделать на обеих виртуалках.
Обновляем локали. Вводим
sudo dpkg-reconfigure locales
Появится графическое окошко. Навигация вверх-вниз - стрелочками на клаве. Листаем вниз и ищем <ru_RU.UTF-8 UTF-8>. Отмечаем по нажатию на пробел. Через нажатие на Tab переключаемся на <Ok>. Теперь нам предложат выбрать язык в системе по умолчанию, здесь на ваше усмотрение. Я оставлю английский (чего и вам рекомендую), поэтому выбираю <en_US.UTF-8>, а вы можете выбрать <ru_RU.UTF-8>.
Ставим некоторый софт/пакеты, которые могут вам понадобиться
sudo apt-get install htop git openvpn openssl nmap psi-plus etherape openssh-client
htop - консольный task manager
git - git
nmap - сканер портов
psi-plus - Jabber клиент. Вместо него может быть pidgin
etherape - для графического мониторинга сетевого траффика
openssh-client - чтоб подрубаться по ssh куда-нибудь
Еще ставим данную группу пакетов
sudo apt-get install build-essential pkg-config make automake autoconf
Работа с Whonix Gateway
Лично я запуская GW в консольном режиме, потому что во-первых GUI жрет не мало RAM, во-вторых GUI по большому счету не нужен GW - все операции можно провести через консоль, все ярлыки на раб. столе спокойно заменяются командами в консоли.
Итак, для того чтобы запускать GW в консольном режиме, нужно выделить виртуалке поменьше RAM. По-умолчанию, минимально значение RAM, которое должно быть выделено для GW, чтобы он запускался в GUI режиме - 480mb. Значит, если выделено меньше 480mb, то GW запустится в консольном режиме.
Идем в виртуалбокс, выбираем GW -> жмем настройки -> переходим на вкладку "System" -> перемещаем ползунок. Выбираем значение меньше 480.
Но что делать, если мы хотим выделить GW побольше RAM, скажем, 512 или оставить 768, но при этом запускать в консольном режиме? Редактируем файл /etc/rads.d/30_default.conf
sudo nano /etc/rads.d/30_default.conf
Ищем строчку "rads_minimum_ram". Эта строчка сообщает системе, какое минимальное количество RAM должно быть выделено, чтобы машина запускалась в GUI режиме. Как видите, по умолчанию стоит 480. Берем и меняем значение на любое другое, скажем, 1024 -> сохраняем -> выходим. Идем в настройки вирт. машины Gateway (выше) и выделяем сколько нужно RAM и в пределах 1024mb - будет запускаться в консольном режиме.
Ярлыки на Whonix Gateway
Грубо говоря, ярлыки условно можно разделить на пять групп:
1) Ярлыки, для управления Tor (Stop Tor, Reload Tor, Restart Tor)
2) Ярлыки, для управления Firewall (Global Firewall Settings, User Firewall Settings, Reload Firewall)
3) Ярлыки, для редактирования конфигурационных файлов Tor (Tor User Config, Tor Examples, Tor Data)
4) Ярлыки Whonix (WhonixCheck, WhonixSetup, Whonix Repository)
5) Остальные ярлыки - приложения (Konsole, Arm)
Stop Tor - остановить службу Tor. После выполнения пропадет интернет и приложения на Whonix Workstation работать не будут. Заменяется следующей командой в консоли
sudo service tor@default stop
Reload Tor - перезагружает службу Tor. При выполнении перечитывает конфигурационные файлы и перезагружает цепочку Тор для приложений на Whonix Workstation. Заменяется следующей командой в консоли
sudo service tor@default reload
Restart Tor - перезапускает службу Tor. Трудно сейчас будет объяснить чем отличается от Reload Tor. Сначала служба Tor останавливается, затем запускается по новой. Если вам нужно перезагрузить цепочку, то используйте Tor Reload. Заменяется следующей командой в консоли
sudo service tor@default restart
Global Firewall Settings - открывает глобальные настройки Firewall по адресу /etc/whonix_firewall.d/30_default.conf в текстовом редакторе kwrite. Если вы не знаете, зачем это нужно, то данный ярлык не используйте. Заменяется следующей командой в консоли
sudo nano /etc/whonix_firewall.d/30_default.conf
User Firewall Settings - открывает пользовательские настройки Firewall по адресу /etc/whonix_firewall.d/50_user.conf в текстовом редакторе kwrite. Если вы не знаете, зачем это нужно, то данный ярлык не используйте. Заменяется следующей командой в консоли
sudo nano /etc/whonix_firewall.d/50_user.conf
Reload Firewall - перезагружает Firewall, если вдруг вы внесли изменения в /etc/whonix_firewall.d/30_default.conf или /etc/whonix_firewall.d/50_user.conf. Заменяется следующей командой в консоли
sudo whonix_firewall
Tor User Config - открывает основной конфигурационный файл /etc/tor/torrc в текстовом редакторе kwrite. Если вы не знаете ничего про конфигурационный файл torrc, зачем он нужен, что туда добавлять и как с ним работать, то неичего там не меняйте. /etc/whonix_firewall.d/30_default.conf или /etc/whonix_firewall.d/50_user.conf. Заменяется следующей командой в консоли
sudo nano /etc/tor/torrc
Tor Examples - открывает файл /etc/tor/torrc.examples, который является примерно конфигурационного файла /etc/tor/torrc в текстовом редакторе в режиме "только для чтения". Это пример, в этом файле не нужно ничего редактировать. Если интересно - можете почитать. Заменяется следующей командой в консоли
nano /etc/tor/torrc.examples
Tor Data - открывает папку /var/lib/tor/ в файловом менеджере Dolphin. Заменяется следующей командой в консоли
cd /var/lib/tor/
WhonixCheck - запускает проверку. Нельзя запускать от рута.Заменяется следующей командой в консоли
whonixcheck
WhonixSetup - запускает Хуниксовский Setup Wizard. Заменяется следующей командой в консоли
sudo whonixsetup
Arm - мощный инструмент для мониторинга Тор. С помощью него можно контролировать Тор различным образом. Заменяется следующей командой в консоли
arm
Работаем с Jabber
Установка Psi+
sudo apt-get install psi-plus
Установка Pidgin
sudo apt-get install pidgin
Установка Gajim
sudo apt-get install gajim
Установка на примере клиента Psi+.
Ставим Psi+
sudo apt-get install psi-plus
Запускаем - открываем whiskermenu/applications menu, вводим в поиске Psi+ - открываем/переносим мышкой на раб. стол, появится ярлык.
Также запустить можно через терминал
psi-plus %U
Ярлык на раб. столе можно создать вручную
touch ~/Desktop/psi.desktop
Редактируем только что созданный файл
nano ~/Desktop/psi.desktop
или
mousepad ~/Desktop/psi.desktop
mousepad - это графический текстовый редактор, который идет вместе с xfce4. Если вы не ставили xfce4, то используйте вместо mousepad - редактор kwrite. Во всех командах мысленно "mousepad" меняйте на "kwrite"
И вводим туда следующее
[Desktop Entry] # This is the spec version, *not* the application version Version=1.0 Type=Application Name=Psi+ GenericName=XMPP Client Comment=Communicate over the XMPP network Icon=psi-plus Exec=psi-plus %U MimeType=x-scheme-handler/xmpp; Terminal=false StartupWMClass=psi-plus Categories=Network;InstantMessaging;Qt; Keywords=XMPP;Jabber;Chat;InstantMessaging;
Если через nano редактируете, то вставляется текст с помощью ctrl+shift+v). Сохраняем -> закрываем. Все, ярлык готов.
Запускаем Psi+. Регистрация аккаунта. При запуске вылетет окно "Account Setup". Если хотите зарегистрировать аккаунт, то жмем "Registaer new account", если у вас уже есть аккаунт, жмем "Use existing account" (если вдруг никакого окна не вышло, то переходите к разделу "Добавление аккаунта" чуть ниже, а потом возвращайтесь сюда).
После нажатия "Registaer new account", вылетает окно регистрации нового аккаунта. В первой графе нужно ввести джаббер сервер. Например это могут быть следующие
exploit.im zloy.im swissjabber.ch xmpp.jp crypt.am
Я буду показывать регистрацию на примере сервера swissjabber.ch, хотя процесс регистрации на других серверах, почти ничем не отличается.
Вводим swissjabber.ch в первое поле, жмем "Next" -> появится окно, вводите ваш Username и Password.
Я ввожу Username: SupeDealer
Username не чувствителен к регистру, то есть SupeDealer = supedealer.
Жмем "Next" - выйдет окно, подтверждающее, что регистрация прошла успешно.
JID (Jabber IDentifier) - грубо говоря ваш адрес вида username@server.
В моем случае JID получился supedealer@swissjabber.ch
Затем выйдет окно с настройками аккаунта, состоящее из нескольких вкладок. Тут можно ничего не трогать, единственное что, переходим во вкладку "Misc." -> там в "Resource" ставим "Manual".
Подключаемся -> на аккаунте правой кнопкой мыши -> Status -> Online.
Выскочит окно с ошибкой и предложеним написать о себе.
Во вкладке "General" заполните поле "Full Name" (пишем сюда то, как хотели бы, чтобы ваш аккаунт отображался у других пользователей), в поле Nickname тоже самое -> жмем "Publish".
Добавляем контакт
ПКМ на аккаунте -> "Add a contact" или в окне Psi+, вверху, есть иконка "человечек с плюсом", жмем на нее.
Во вновь появившимся окне напротив "XMPP Address" пишем JID человека, которого хотим добавить. Как видите, можно ввести Nickname (то, как он будет отображаться у вас в контактах) и группу (можно делать группы).
Я зарегистрирусь второй раз, мой JID будет supedealer@swissjabber.ch и добавлю свой первый аккаунт.
Напротив "XMPP Address" ввожу supedealer@swissjabber.ch, Nickname напишу "spb-dealer", "Group" - напишу "Drugs" -> жму -> выскочит окно с информацией о том, что этот контакт добавлен в ростер.
На нашем аккунте supedealer@swissjabber.ch появилось уведомление о том, что кто-то нас хочет добавить. Выскочит системное сообщение, там жмем кнопку <Add/Auth>, тем самым мы принимаем заявку, так сказать, "в друзья". После вашей аутентификации собеседника, ему придет точно такое же системное сообщение.
Настроим шифрование OTR (Off-The-Record)
В главном окне Psi+ вверху есть иконка с ключем, жмем ее. Это настройки. Если что-то нужно настроить - настраивайте. Идем в раздел "Plugins" -> напротив "Plugin name" во всплывающем списке выбираем "Off-The-Record messaging Plugin" -> помечаем галочкой "Load this plugin". В появившимся ниже окне, переходим во вкладку "My private keys" -> там в выпадающем списке выбираем свой аккаунт -> жмем -> подтверждаем -> все.
Генерировать подобные ключи нужно для каждого вашего аккаунта. Не обязательно, но рекоменду перейти во вкладку "Configurations" и отметить радиобаттоном "Automatically start private messaging". Шифрование OTR настроено.
Врубаем шифрование в чате. В окне чата с собеседником будет иконка "замочка, на котором надпись OTR" -> жмем ее -> жмем "Start private messaging". Поскольку ранее, в настройках плагина мы поставили галочку на "Automatically start private messaging", то шифрование начнется автоматически при отправке первого сообщения.
Добавление аккаунта
В главном окне Psi+, внизу слева есть кнопка, по нажатию на которую будет открыт выпадающий список. В этом списке ищем и жмем "Account Setup". Появится новое окно, в нем жмем <Add> -> появится окно добавления аккаунта, графа "Name" означает то, как будет выглядеть аккаунт у вас в окно Psi+, здесь может быть написано все что угодно. Если регистрируем новый аккаунт, то отмечаем галочкой "Register new account". Выскочит окно регистрации нового аккаунта, которое мы разбирали выше, в разделе регистрации.
А для того чтобы добавить существующий аккаунт, снимите галочку, потом вводите JID и пароль, жмете Save.
Советы по работе с Whonix
Не нужно скачивать и ставить Тор на Хуникс Воркстейшн (не надо делать apt-get install tor). На Воркстейшн стоит Тор Браузер. Им и пользуйтесь. Остальные приложения тоже получают интернет с Gateway, который полностью Торифицирует весь траффик.
Не рекомендую пытаться делать Tor -> Tor (Тор через Тор). Это лишнее. Такая связка вам ничего не дает.
Если вам на выходе НЕ нужен белый IP и вы ходите исключительно на httpS сайты или на сайты в пространстве .onion, то в качестве браузера используйте Тор Браузер.
Будьте осторожны, если выполняете apt-get autoremove, иногда по неведомым причинам, удаляются важные Хуниксовские пакеты или конфиги, которые нужны для нормальной работы. Можно удалить так, что ничего нормально работать не будет, в том числе и интернет. И придется ставить Воркстейшн по новой.
Старайтесь ничего не удалять из того, что не ставили сами. Это может привести к плохим последствиям.
Лучше не меняйте репозитории со Stable на Testing для обновления системы. Придется делать apt-get dist-upgrade, которые вероятно снесет/обновит то, что не нужно и у вас все поламается, придется ставить Workstation по новой.
Если нужно поставить какой-то пакет, которого нет в Stable репозиториях, то ищем на оф. сайте программы, скачиваем и собираем вручную, или ищем ".deb" пакет на сайте Debian, скачиваем и ставим через dpkg -i.
Если совсем все плохо, и в вручную не собирается, и deb пакет не ставится (проблема с зависимостями), а скачивать пакеты-зависимости отдельно, а возможно и пакеты-зависимости от пакетов-зависимостей вам в падлу, то можно временно добавить Testing репозиторий.
Делайте так: добавляете Testing репозитории
sudo apt-get update
СТРОГО ТОЛЬКО ЭТУ КОМАНДУ, без upgrade и dist-upgrade, ставите нужный пакет через команду
sudo apt-get install <пакет>/testing
После того как поставился удаляем добавленный Testing репозиторий из файла и еще раз выполняем sudo apt-get update. Будьте внимательны.
Как добавить и удалить Testing репозитории
Прежде чем проводить манипуляции с файлом, сделаем бекап на всякий случай
sudo cp /etc/apt/sources.list.d/debian.list /etc/apt/sources.list.d/debian.list.bak
Для начала войдем в режим работы от root
sudo -i
При необходимости вводим пароль. Затем, для того чтобы добавить Testing репозитории, вводим
echo "deb http://ftp.us.debian.org/debian testing main contrib non-free" >> /etc/apt/sources.list.d/debian.list
Testing репозитории добавлены. Выходим из под root
exit
Обновляем репозитории
sudo apt-get update
Для того чтобы вернуться к первоначальному состоянию, нужно с помощью редактора nano отредактировать файл /etc/apt/sources.list.d/debian.list, удалив последнюю строчку (ту, которую мы добавили при помощи echo).
sudo nano /etc/apt/sources.list.d/debian.list
Удаляем последнюю строку. Или же восстанавливаем файл из созданного ранее бекапа
sudo cp /etc/apt/sources.list.d/debian.list.bak /etc/apt/sources.list.d/debian.list
И снова обновляем репозитории
sudo apt-get update
Пример
sudo apt-get install rofi/testing
Команда установит пакет rofi из Testing репозитория. Поставьте себе менеджер паролей keepassx. KeePassX - это некий сейф для хранения паролей к различный сайтам и сервисам.
sudo apt-get install keepassx
Если вы чувствуете, что где-то накосячили или у вас что-то работает не так, и никак не можете решить эту проблему, даже гугление не помогает, то сносите Workstation и ставьте по новой. В Виртуалбоксе выделяете Whonix Workstation -> жмете правой кнопкой мыши -> жмете удалить -> удалиьт все файлы.
Возвращаетесь в начала стать и ставите Workstation заново. При этом Gateway можете не трогать (если вы и там не на портачили).
Настраиваем Firefox
Настоятельно не рекомендую вам устанавливать какие-либо другие браузеры (Google Chrome, Chromium, Opera, Yandex Browser, Amigo и так далее). Используйте Tor Browser или Firefox.
В Whonix-Workstation предустановлен браузер Firefox ESR (Extended Support Release), далее просто Firefox.
А где же Iceweasel, спросите вы. А нет Iceweasel в Whonix. Приложение iceweasel является симлинком на firefox-esr
user@host:~$ which iceweasel /usr/bin/iceweasel user@host:~$ ls -l /usr/bin/iceweasel lrwxrwxrwx 1 root root 30 Dec 1 00:48 /usr/bin/iceweasel -> ../lib/firefox-esr/firefox-esr
Поэтому настраивать будем Firefox. Для начала жмем на иконку "бургер" вверху справа -> жмем Preferences. Переходим во вкладку "Search", в "Default Search Engine" в выпадающем списке выбираем "DuckDuckGo". Гугл не будет искать, если запрос с IP Тора.
Переходим во вкладку "Privacy", В выпадающем списке выбираем "Use custom settings for history", ставим галочку на "Accect cookies from sites", напротив "Accept third-party cookies" в выпадающем списке выбираем "Never", напротив "Keep until" в выпадающем списке выбираем "I close Firefox", отмечаем галочкой "Clear history when FireFox closes".
Теперь изменим конфиг. В адресной строке пишем "about:config", соглашаемся с тем, что будем аккуратны, жмем на кнопку, далее в адресной строке пишем следующие строки и меняем значения
media.peerconnection.enabled = false geo.enabled = false browser.send_pings = false browser.safebrowsing.enabled = false browser.safebrowsing.malware.enabled = false browser.search.suggest.enabled = false
Далее
dom.battery.enabled = false dom.enable_performance = false dom.network.enabled = false dom.storage.enabled = false network.dns.disablePrefetch = true network.http.sendSecureXSiteReferrer = false network.prefetch-next = false network.proxy.socks_remote_dns = true
Можно еще добавить
network.http.sendRefererHeader = 0 dom.storage.enabled = false
Реализация различных цепочек анонимности
VPN -> Tor -> Интернет
VPN в самом начале используется для того, чтобы скрыть сам факт использования Тор от вашего провайдера.
Самым простым вариантом будет использовать VPN на вашей хост. машине. Цепляем VPN на вашу хост. машину и работаем с Workstation. Траффик будет идти сначала через VPN, затем через Tor на Whonix-Gateway.
Для того чтобы использовать VPN (OpenVPN) на хост. машине, то:
1) Если у вас винда, скачиваете OpenVPN клиент.
2) Если у вас Linux, то ставите пакет openvpn
sudo apt-get install openvpn openssl
3) Если у вас Mac OS X, то ставите TunnelBlick.
Далее скачиваете конфигурационный файл и открываете при помощи вашего OpenVPN клиента.
VPN -> Tor -> VPN -> Интернет
Цепочка, которой хватает для 93% случаев. Второй VPN после Тор используется во-первых, для того, чтобы у вас был нормальный белый IP (если он вам нужен вообще, в зависимости от того, чем вы занимаетесь), а во-вторых спасает от прослушки на выходной ноде Тора, где, если вы заходите на сайт http (не https), то траффик шифроваться не будет.
VPN 1 цепляем на хост. машину, а VPN 2 должен быть на Workstation.
Как подключиться к VPN на Workstation. Как правило, OpenVPN на Workstation уже предустановлен, но можно перепроверить
sudo apt-get install openvpn openssl
Далее скачиваем конфигурационный файл ".ovpn" от вашего VPN-провайдера. Tor не может работать по UDP, поэтому ваш провайдер должен предоставлять вам конфигурационный файл, который работает с VPN-сервером по протоколу TCP. В конфиг. файле должна быть строчка "proto tcp" вместо "proto udp". Подключаемся к VPN
sudo openvpn --config <путь_до_.ovpn>
Сидим и работаем через настроенный Firefox. Тор Браузер по прежнему будет показывать IP Тора, потому что так устроено. Не пытайтесь ничего менять в Тор Браузере. Если нужна цепочка VPN -> Tor -> VPN -> Интернет в браузере, то работаем через Firefox. Открываем Firefox -> заходим на сайт whoer.net -> смотрим свой IP. Если IP не Tor, значит все окей. Проверяем IPшник курлом
curl.anondist-orig https://check.torproject.org/ | grep "IP"
Теперь траффик почти всех приложений идет через VPN -> Tor -> Интернет. Почему я написал "почти всех приложений"? Потому что Whonix устроен таким образом, что некоторые приложения будут миновать этот VPN (2) и соеденяться сразу с Tor, траффик таких приложений будет VPN (1) -> Tor -> Интернет (при условии, что вы подключились к VPN на своей хост. машине).
Вот список этих приложений. Приложения, настроенные на работу таким образом через внутренние настройки
Tor Browser HexChat Mozilla Thunderbird with TorBirdy Instant Messenger sdwdate whonixcheck BitCoin privoxy polipo Tor Browser Downloader by Whonix Chat#Ricochet IM Mixmaster KDE application wide proxy settings
Приложения - uwt wrapped
apt-get aptitude gpg ssh git wget curl mixmaster-update
Список uwt wrapped приложений
apt-get aptitude gpg ssh git wget curl mixmaster-update
uwt wrapped приложения - это приложения немного модифицированные командой Whonix. Для каждого отдельного uwt wrapped приложения будет использоваться различная цепочка Тор. Например, у приложения curl и у приложения wget будут разные цепочки Тор с Гейтвея. Сравним работу приложений
curl https://check.torproject.org/ | grep "IP"
Данная команда вернет нам наш IP, полученный на сайте check.torproject.org результат выполнения
Your IP address appears to be: 111.111.111.11
А теперь wget
wget -q -O- https://check.torproject.org/ | grep "IP"
Результат выполнени
Your IP address appears to be: 100.000.000.000
Как видите, одна и таже команда вернула нам разные IP.
В системе остались "оригиналы" от этих приложений, которые называются как <название приложения>.anondist-orig
То есть, есть приложение curl, его оригинал называется curl.anondist-orig
Для wget - wget.anondist-orig
Можно сравнить работу оригинального приложения и приложения модифицированного на примерах curl и wget.
Подключимся к VPN на Workstation. Мой VPN IP: 47.100.100.100
Проверяем наш IP через curl
curl https://check.torproject.org/ | grep "IP"
Рузльтат выполнения команды таков
Your IP address appears to be: 51.100.100.100
IP показывает Торовский. Не VPN. А теперь тоже самое, только с командой curl.anondist-orig
curl.anondist-orig https://check.torproject.org/ | grep "IP"
Выдает мой VPN IP
Your IP address appears to be: 47.100.100.100
Как видите, curl и curl.anondist-orig отличаются. Теперь тоже самое с wget.
wget -q -O- https://check.torproject.org/ | grep "IP"
Выдает IP Тора
Your IP address appears to be: 51.100.100.100
Теперь wget.anondist-org:
wget.anondist-orig -q -O- https://check.torproject.org/ | grep "IP"
Выдает IP VPN
Your IP address appears to be: 47.100.100.100
VPN -> Tor -> Proxy (HTTP/SOCKS/и т. д.) -> Интернет (через браузер Firefox)
Допустим мы хотим чтобы у нас был белый IP и при этом у нас есть Proxy (HTTP/SOCKS).
VPN на хост. машине, как в первой цепочке, а прокси ставим в настройки браузера Firefox.
Открываем Firefox -> справа сверху жмем на иконку "бургер" -> жмем "Preferences" -> в появившимся окне переходим во вкладку "Advanced" -> там переходим во вкладку "Network" -> жмем на <Settings>.
Появилось окно с настройками Proxy. Радиобаттаном отмечаем "Manual proxy configuration". Далее, если у вас HTTP прокси, то забиваем их в поле "HTTP Proxy", указав IP и порт, и отмечаем галочкой "Use this proxy server for all protocols".
Если у вас SOCKS4/SOCKS5 прокси, то забиваем их в поле "SOCKS Host", указав IP и порт, при этом отметив нужную версию SOCKS радиобаттоном. При желании можно отметить галочкой "Remote DNS".
Все, настроили Firefox на работу через прокси. Теперь наш траффик VPN -> Tor -> Proxy -> Интернет в Firefox.
Проверяем IP - заходим на whoer.net -> если IP прокси, то все ок.
Я разобрал настройку работы через прокси на примере браузера Firefox. Пустить таким образом траффик можно и с другим приложением, идем в настройки и разбираемся. Желательно не трогать приложения из списка выше.
VPN -> Tor -> SSH-Tunnel (средствами ssh.anondist-orig) -> Интернет (работаем через браузер Firefox)
Вы хотите белый IP на выходе и у вас есть доступ по ssh к какому-то серверу.
Через ssh есть возможность пробросить порт и сделать локальный прокси и настраивать нужное вам приложение на работу уже через этот прокси.
Итак, поскольку uwt wrapped ssh не позволит нам пробросить порт, будет использоваться ssh.anondit-orig (см. выше про uwt wrapped).
ssh.anondist-orig -D 127.0.0.1:port username@ip
Где port - это любое число от 1024 до 65535. Желательно использовать какой-нибудь не стандартный (aka "экзотичекий") порт.
username - логин от сервера
ip - IP адрес сервера
Пример, в моем случае я ввожу
ssh.anondist-orig -D 127.0.0.1:17665 login@100.100.100.100
Ввели команду - вводим пароль и все. Локальная прокся создалась, при этом мы подключились по ssh к серверу. Теперь, для того что бы работать в Firefox через этот созданный прокси (наш ssh), проделываем следующие действия, как из раздела выше.
Открываем Firefox -> справа сверху жмем на иконку "бургер" -> жмем "Preferences" -> в появившимся окне переходим во вкладку "Advanced" -> там переходим во вкладку "Network" -> жмем на "Settings".
Появилось окно с настройками Proxy. Радиобаттаном отмечаем "Manual proxy configuration". В поле "SOCKS Host" забиваем ip "127.0.0.1", в поле "Port" вводим port (в моему случ. это 17665). При желании можно отметить галочкой "Remote DNS".
Все, настроили Firefox на работу через прокси, которую получили при помощи ssh. Теперь наш траффик VPN -> Tor -> SSH-Tunnel -> Интернет в Firefox. Проверяем IP - заходим на whoer.net -> если IP прокси, то все ок.
Пустить таким образом траффик можно и с другим приложением, идем в настройки нужного вам приложения и разбираемся. Желательно не трогать приложения из списка выше.
Проверяем IPшник курлом
curl.anondist-orig --socks5 127.0.0.1:17665 https://check.torproject.org/ | grep "IP"
Для того чтобы закрыть ssh соеденение - вводим в терминале
exit
Вторая часть тут https://t.me/new_infonet