Установка и настройка ОС Whonix часть 1

Установка и настройка ОС Whonix часть 1

https://t.me/new_infonet


Whonix - это дистрибутив, который базируется на Debian и при этом состоит из двух частей. Когда я говорю "из двух частей", я имею в виду, что для работы Whonix необходимы две виртуальные машины. Первая - это шлюз (Whonix Gateway), который работает только через Tor и Торифицирует абсолютно весь траффик, а вторая - полностью изолированная рабочая станция (Whonix Workstation), настроенная таким образом, что подключается только к шлюзу и берет интернет только оттуда.

Таким образом, абсолютно все приложения, запущенные на рабочей станции пускают свой траффик через Tor, потому что Workstation берет интернет с Gateway. При этом Workstation не знает свой реальный IP адрес, и если рабочую станцию взломают, злоумышленник так и не сможет узнать ваш реальный IP адрес.

Из особенностей Whonix можно выделить также то, что каждое предустановленные в нем приложение работает на отдельном Socks-порту, что означает, что для каждого такого приложения создается отдельная цепочка из узлов Tor. Whonix отлично защищен от утечек DNS. У Whonix хорошая защита от идентификации пользователя при помощи так называемого Fingerprinting.

Ходит миф, что Tails является самой анонимной ОС, которую когда-либо придумывали. Хочу сказать, что Whonix ничем не хуже в этом плане, а в некоторых моментах даже значительно превосходит.

Tails и Whonix. Оба дистрибутива (или ОС, называйте как хотите) создавались с уклоном в анонимность и безопасность пользователей. И Whonix, и Tails действительно очень хороши и прекрасно выполняют свои функции.

Если не углубляться до технических особенностей каждого из дистрибутивов, то для типичного пользователя принципиальной разницей между ними будет то, что Tails предназначен для использования с USB-FLash накопителе (не рекомендуется ставить на виртуалку), а Whonix в большенстве случаев ставится на виртуалку. А также то, что Tails является "Amnestic", то есть все забывает после перезагрузки, а Whonix нет. Еще одним не мало важным отличием является то, что Whonix более гибок в настройке в принципе, а в настройках различных "Цепочек Анонимностей" в частности, тут тебе и VPN -> Tor, и VPN -> Tor -> VPN, и VPN - Tor -> Proxy/SSH и еще можно много чего придумать. В Tails, такого сделать нельзя. В Tails весь траффик идет сразу через Тор, и, например, поставить VPN перед Тор уже не получится, только после.

Tails очень удобен, если нужно быстренько воткнуть Флешку, зайти в Интернет, что-то где-то написать и выключить. Для продолжительной работы в Интернете его очень не удобно использовать, чего не скажешь о Whonix.

Конечно можно Tails настроить таким образом, что он не будет забывать нужные вам установленные приложения, конфигурационные файлы, всякие настройки и так далее, но зачем делать такие костыли?

Способы установки Whonix

1) Whonix на вируальной машине. В этой статье будет разобран именно этот способ. Это самый простой и распространенный способ поставить себе Whonix. Программой виртуализации у нас будет VirtualBox. В качестве Host OS может использоваться чуть ли не любая операционная система.

2) Qubes-Whonix. Это второй, тоже довольно распространенный способ пустить траффик через Whonix. В качестве хостовой операционной системы используется так называемый Qubes OS, а Whonix-Gateway ставится как виртуалка через встроенные средства виртуализации в Qubes OS.

3) Виртуализация KVM. Третий способ ставить Whonix. Используется виртуализатор qemu-kvm или подобное.

4) Возможно физическое разделение виртуальных машин Whonix Workstation и Whonix Gateway

Как установить Whonix

Для начала нужно скачать VirtualBox. Теперь идем на сайт Whonix и скачиваем два образа ".ova" - Whonix Gateway и Whonix Workstation. С этой страницы скачиваем образы: Образы для VirtualBox. По ссылкам "Download Whonix-Gateway" и "Download Whonix-Workstation".

Открываем виртуалбокс, жмем File -> Import Appliance. Выбираем скаченный образ Whonix Gateway, жмем "Далее". Появится окошко с настройками, все оставляем по-умолчанию, кроме графы RAM, эту графу по желанию можно изменить. Жмем "Import" и ждем.

Установка и настройка ОС Whonix


Точно такую же операцию проделываем для Whonix Workstation. Лично я для Whonix Workstation выделяю обычно не меньше 1024mb RAM (если есть возможность, выделяйте побольше гига), а для первого запуска Whonix Gateway оставляю по-умолчанию (768mb).

Теперь у нас в нашем виртуалбоксе появились две виртуальные машины, но мы их пока не запускаем. Немного настроим. Жмем на виртуалку, потом "Настройки", переходим на вкладку "System". Тут мы должны поменять порядок загрузки и снять лишние галочки. Выбираем "Hard Disk" и стрелочками перемещаем его на первую строку, "Optical" - на вторую строку. Снимаем галочки с "Floppy" и "Optical", оставляем только на "Hard Disk". Теперь переходим во вкладку "Storage", там на Контроллере ставим галочку "Use Host I/O Cache". Точно такую же операцию проделываем и со второй виртуалкой.

Установка и настройка ОС Whonix


Как запустить Whonix

Запускаем GW (Gateway) и WS (Workstation). Порядок запуска таков: сначала Gateway, затем Workstation.

Перед нами сразу появится окно, дважды жмем "Understood" (но сначала читаем!). На GW должно быть отмечено "Iam Ready to Enable Tor", ждем "Next" несколько раз, потом "Yes. Automatically install updates from the Whonix team", жмем "Next", выбираем "Whonix Stable Repository" (рекомендую выбирать именно это) и далее до конца. На WS все аналогично. Теперь на обеих виртуалках автоматически должен запуститься так называемый whonixcheck.

Когда whonixcheck прошел, он покажет "Warning", где будет ругаться на то, что система не обновлена.

На обеих виртуалках открываем эмулятор терминала Konsole с ярлыка на рабочей столе.

На обеих VM вводим

sudo apt-get update && sudo apt-get upgrade -y && sudo apt-get dist-upgrade -y

Спросит пароль.

Стандартный логин - user

Пароль от user - changeme

Пароль от root - changeme

Позже мы поменяем пароль. Вводим пароль -> сидим с открытым ртом и ждем пока закончится обновление, процесс не быстрый. Обновление может прерваться по неизвестным причинам, если это случилось, повторно вводите команду выше, процесс продолжится.

Если все прошло окей, то повторно запускаем whonixcheck - вводим в терминале whonixcheck или запускаем с ярлыка на рабочем столе WhonixCheck. Лично я предпочитаю делать whonixcheck в терминале. Смотрим, чтоб не было "Warning". Если есть "Warning" в том же месте что и в прошлый запуск, то возвращаемся на абзац выше и обновляем систему. Если нет "Warning", то идем дальше.

Теперь на Workstation нам нужно скачать/обновить Тор Браузер. Запукаем Tor Browser Downloader с ярлыка на раб. столе или вводим update-torbrowser в терминале. Начнется процесс, вам будет предложено выбрать версию Тор Браузера для скачивания, 6.0.7 и остальные. Версия 6.0.7 - стабильная версия, все остальные версии - тестинг или девелоперс. Я ставлю 6.0.7, вы ставите что хотите (лучше стабильную). В случае если программа была запущена с ярлыка на раб. столе, отметьте нужную версию кружочком (радиобаттон), в случае запуска скрипта через терминал, введете нужную версию вручную, как только предложат это сделать (в моем случае я ввел "6.0.7") и жмете интер. После скачивания, вам будет предложено установить его, жмете кнопку 'Yes' или вводите "y" в терминале и жмете интер. Версия "6.0.7" актуальна на момент написания статьи.

Меняем стандартный пароль. Открываем терминал, вводим

sudo -i

Водим пароль, теперь мы работаем из под root. Меняем пароль, сначала для root

passwd root

Дважды вводим пароль. Теперь пароль от root поменялся. Теперь для user

passwd user

Дважды вводим пароль. Теперь пароль от user поменялся. Теперь вводим exit.

Желательно чтобы пароль от root и от user были разные. Данную операцию можно проделать на обеих виртуалках.

Обновляем локали. Вводим

sudo dpkg-reconfigure locales

Появится графическое окошко. Навигация вверх-вниз - стрелочками на клаве. Листаем вниз и ищем <ru_RU.UTF-8 UTF-8>. Отмечаем по нажатию на пробел. Через нажатие на Tab переключаемся на <Ok>. Теперь нам предложат выбрать язык в системе по умолчанию, здесь на ваше усмотрение. Я оставлю английский (чего и вам рекомендую), поэтому выбираю <en_US.UTF-8>, а вы можете выбрать <ru_RU.UTF-8>.

Ставим некоторый софт/пакеты, которые могут вам понадобиться

sudo apt-get install htop git openvpn openssl nmap psi-plus etherape openssh-client

htop - консольный task manager

git - git

nmap - сканер портов

psi-plus - Jabber клиент. Вместо него может быть pidgin

etherape - для графического мониторинга сетевого траффика

openssh-client - чтоб подрубаться по ssh куда-нибудь

Еще ставим данную группу пакетов

sudo apt-get install build-essential pkg-config make automake autoconf


Работа с Whonix Gateway

Лично я запуская GW в консольном режиме, потому что во-первых GUI жрет не мало RAM, во-вторых GUI по большому счету не нужен GW - все операции можно провести через консоль, все ярлыки на раб. столе спокойно заменяются командами в консоли.

Итак, для того чтобы запускать GW в консольном режиме, нужно выделить виртуалке поменьше RAM. По-умолчанию, минимально значение RAM, которое должно быть выделено для GW, чтобы он запускался в GUI режиме - 480mb. Значит, если выделено меньше 480mb, то GW запустится в консольном режиме.

Идем в виртуалбокс, выбираем GW -> жмем настройки -> переходим на вкладку "System" -> перемещаем ползунок. Выбираем значение меньше 480.

Но что делать, если мы хотим выделить GW побольше RAM, скажем, 512 или оставить 768, но при этом запускать в консольном режиме? Редактируем файл /etc/rads.d/30_default.conf

sudo nano /etc/rads.d/30_default.conf

Ищем строчку "rads_minimum_ram". Эта строчка сообщает системе, какое минимальное количество RAM должно быть выделено, чтобы машина запускалась в GUI режиме. Как видите, по умолчанию стоит 480. Берем и меняем значение на любое другое, скажем, 1024 -> сохраняем -> выходим. Идем в настройки вирт. машины Gateway (выше) и выделяем сколько нужно RAM и в пределах 1024mb - будет запускаться в консольном режиме.

Ярлыки на Whonix Gateway

Грубо говоря, ярлыки условно можно разделить на пять групп:

1) Ярлыки, для управления Tor (Stop Tor, Reload Tor, Restart Tor)

2) Ярлыки, для управления Firewall (Global Firewall Settings, User Firewall Settings, Reload Firewall)

3) Ярлыки, для редактирования конфигурационных файлов Tor (Tor User Config, Tor Examples, Tor Data)

4) Ярлыки Whonix (WhonixCheck, WhonixSetup, Whonix Repository)

5) Остальные ярлыки - приложения (Konsole, Arm)

Stop Tor - остановить службу Tor. После выполнения пропадет интернет и приложения на Whonix Workstation работать не будут. Заменяется следующей командой в консоли

sudo service tor@default stop

Reload Tor - перезагружает службу Tor. При выполнении перечитывает конфигурационные файлы и перезагружает цепочку Тор для приложений на Whonix Workstation. Заменяется следующей командой в консоли

sudo service tor@default reload

Restart Tor - перезапускает службу Tor. Трудно сейчас будет объяснить чем отличается от Reload Tor. Сначала служба Tor останавливается, затем запускается по новой. Если вам нужно перезагрузить цепочку, то используйте Tor Reload. Заменяется следующей командой в консоли

sudo service tor@default restart

Global Firewall Settings - открывает глобальные настройки Firewall по адресу /etc/whonix_firewall.d/30_default.conf в текстовом редакторе kwrite. Если вы не знаете, зачем это нужно, то данный ярлык не используйте. Заменяется следующей командой в консоли

sudo nano /etc/whonix_firewall.d/30_default.conf

User Firewall Settings - открывает пользовательские настройки Firewall по адресу /etc/whonix_firewall.d/50_user.conf в текстовом редакторе kwrite. Если вы не знаете, зачем это нужно, то данный ярлык не используйте. Заменяется следующей командой в консоли

sudo nano /etc/whonix_firewall.d/50_user.conf

Reload Firewall - перезагружает Firewall, если вдруг вы внесли изменения в /etc/whonix_firewall.d/30_default.conf или /etc/whonix_firewall.d/50_user.conf. Заменяется следующей командой в консоли

sudo whonix_firewall

Tor User Config - открывает основной конфигурационный файл /etc/tor/torrc в текстовом редакторе kwrite. Если вы не знаете ничего про конфигурационный файл torrc, зачем он нужен, что туда добавлять и как с ним работать, то неичего там не меняйте. /etc/whonix_firewall.d/30_default.conf или /etc/whonix_firewall.d/50_user.conf. Заменяется следующей командой в консоли

sudo nano /etc/tor/torrc

Tor Examples - открывает файл /etc/tor/torrc.examples, который является примерно конфигурационного файла /etc/tor/torrc в текстовом редакторе в режиме "только для чтения". Это пример, в этом файле не нужно ничего редактировать. Если интересно - можете почитать. Заменяется следующей командой в консоли

nano /etc/tor/torrc.examples

Tor Data - открывает папку /var/lib/tor/ в файловом менеджере Dolphin. Заменяется следующей командой в консоли

cd /var/lib/tor/

WhonixCheck - запускает проверку. Нельзя запускать от рута.Заменяется следующей командой в консоли

whonixcheck

WhonixSetup - запускает Хуниксовский Setup Wizard. Заменяется следующей командой в консоли

sudo whonixsetup

Arm - мощный инструмент для мониторинга Тор. С помощью него можно контролировать Тор различным образом. Заменяется следующей командой в консоли

arm


Работаем с Jabber

Установка Psi+

sudo apt-get install psi-plus

Установка Pidgin

sudo apt-get install pidgin

Установка Gajim

sudo apt-get install gajim

Установка на примере клиента Psi+.

Ставим Psi+

sudo apt-get install psi-plus

Запускаем - открываем whiskermenu/applications menu, вводим в поиске Psi+ - открываем/переносим мышкой на раб. стол, появится ярлык.

Также запустить можно через терминал

psi-plus %U

Ярлык на раб. столе можно создать вручную

touch ~/Desktop/psi.desktop

Редактируем только что созданный файл

nano ~/Desktop/psi.desktop

или

mousepad ~/Desktop/psi.desktop

mousepad - это графический текстовый редактор, который идет вместе с xfce4. Если вы не ставили xfce4, то используйте вместо mousepad - редактор kwrite. Во всех командах мысленно "mousepad" меняйте на "kwrite"

И вводим туда следующее

[Desktop Entry]
# This is the spec version, *not* the application version
Version=1.0
Type=Application
Name=Psi+
GenericName=XMPP Client
Comment=Communicate over the XMPP network
Icon=psi-plus
Exec=psi-plus %U
MimeType=x-scheme-handler/xmpp;
Terminal=false
StartupWMClass=psi-plus
Categories=Network;InstantMessaging;Qt;
Keywords=XMPP;Jabber;Chat;InstantMessaging;

Если через nano редактируете, то вставляется текст с помощью ctrl+shift+v). Сохраняем -> закрываем. Все, ярлык готов.

Запускаем Psi+. Регистрация аккаунта. При запуске вылетет окно "Account Setup". Если хотите зарегистрировать аккаунт, то жмем "Registaer new account", если у вас уже есть аккаунт, жмем "Use existing account" (если вдруг никакого окна не вышло, то переходите к разделу "Добавление аккаунта" чуть ниже, а потом возвращайтесь сюда).

После нажатия "Registaer new account", вылетает окно регистрации нового аккаунта. В первой графе нужно ввести джаббер сервер. Например это могут быть следующие

exploit.im
zloy.im
swissjabber.ch
xmpp.jp
crypt.am

Я буду показывать регистрацию на примере сервера swissjabber.ch, хотя процесс регистрации на других серверах, почти ничем не отличается.

Вводим swissjabber.ch в первое поле, жмем "Next" -> появится окно, вводите ваш Username и Password.

Я ввожу Username: SupeDealer

Username не чувствителен к регистру, то есть SupeDealer = supedealer.

Жмем "Next" - выйдет окно, подтверждающее, что регистрация прошла успешно.

JID (Jabber IDentifier) - грубо говоря ваш адрес вида username@server.

В моем случае JID получился supedealer@swissjabber.ch

Затем выйдет окно с настройками аккаунта, состоящее из нескольких вкладок. Тут можно ничего не трогать, единственное что, переходим во вкладку "Misc." -> там в "Resource" ставим "Manual".

Подключаемся -> на аккаунте правой кнопкой мыши -> Status -> Online.

Выскочит окно с ошибкой и предложеним написать о себе.

Во вкладке "General" заполните поле "Full Name" (пишем сюда то, как хотели бы, чтобы ваш аккаунт отображался у других пользователей), в поле Nickname тоже самое -> жмем "Publish".

Добавляем контакт

ПКМ на аккаунте -> "Add a contact" или в окне Psi+, вверху, есть иконка "человечек с плюсом", жмем на нее.

Во вновь появившимся окне напротив "XMPP Address" пишем JID человека, которого хотим добавить. Как видите, можно ввести Nickname (то, как он будет отображаться у вас в контактах) и группу (можно делать группы).

Я зарегистрирусь второй раз, мой JID будет supedealer@swissjabber.ch и добавлю свой первый аккаунт.

Напротив "XMPP Address" ввожу supedealer@swissjabber.ch, Nickname напишу "spb-dealer", "Group" - напишу "Drugs" -> жму -> выскочит окно с информацией о том, что этот контакт добавлен в ростер.

На нашем аккунте supedealer@swissjabber.ch появилось уведомление о том, что кто-то нас хочет добавить. Выскочит системное сообщение, там жмем кнопку <Add/Auth>, тем самым мы принимаем заявку, так сказать, "в друзья". После вашей аутентификации собеседника, ему придет точно такое же системное сообщение.

Настроим шифрование OTR (Off-The-Record)

В главном окне Psi+ вверху есть иконка с ключем, жмем ее. Это настройки. Если что-то нужно настроить - настраивайте. Идем в раздел "Plugins" -> напротив "Plugin name" во всплывающем списке выбираем "Off-The-Record messaging Plugin" -> помечаем галочкой "Load this plugin". В появившимся ниже окне, переходим во вкладку "My private keys" -> там в выпадающем списке выбираем свой аккаунт -> жмем -> подтверждаем -> все.

Генерировать подобные ключи нужно для каждого вашего аккаунта. Не обязательно, но рекоменду перейти во вкладку "Configurations" и отметить радиобаттоном "Automatically start private messaging". Шифрование OTR настроено.

Установка и настройка ОС Whonix


Врубаем шифрование в чате. В окне чата с собеседником будет иконка "замочка, на котором надпись OTR" -> жмем ее -> жмем "Start private messaging". Поскольку ранее, в настройках плагина мы поставили галочку на "Automatically start private messaging", то шифрование начнется автоматически при отправке первого сообщения.

Установка и настройка ОС Whonix


Добавление аккаунта

В главном окне Psi+, внизу слева есть кнопка, по нажатию на которую будет открыт выпадающий список. В этом списке ищем и жмем "Account Setup". Появится новое окно, в нем жмем <Add> -> появится окно добавления аккаунта, графа "Name" означает то, как будет выглядеть аккаунт у вас в окно Psi+, здесь может быть написано все что угодно. Если регистрируем новый аккаунт, то отмечаем галочкой "Register new account". Выскочит окно регистрации нового аккаунта, которое мы разбирали выше, в разделе регистрации.

А для того чтобы добавить существующий аккаунт, снимите галочку, потом вводите JID и пароль, жмете Save.

Установка и настройка ОС Whonix


Советы по работе с Whonix

Не нужно скачивать и ставить Тор на Хуникс Воркстейшн (не надо делать apt-get install tor). На Воркстейшн стоит Тор Браузер. Им и пользуйтесь. Остальные приложения тоже получают интернет с Gateway, который полностью Торифицирует весь траффик.

Не рекомендую пытаться делать Tor -> Tor (Тор через Тор). Это лишнее. Такая связка вам ничего не дает.

Если вам на выходе НЕ нужен белый IP и вы ходите исключительно на httpS сайты или на сайты в пространстве .onion, то в качестве браузера используйте Тор Браузер.

Будьте осторожны, если выполняете apt-get autoremove, иногда по неведомым причинам, удаляются важные Хуниксовские пакеты или конфиги, которые нужны для нормальной работы. Можно удалить так, что ничего нормально работать не будет, в том числе и интернет. И придется ставить Воркстейшн по новой.

Старайтесь ничего не удалять из того, что не ставили сами. Это может привести к плохим последствиям.

Лучше не меняйте репозитории со Stable на Testing для обновления системы. Придется делать apt-get dist-upgrade, которые вероятно снесет/обновит то, что не нужно и у вас все поламается, придется ставить Workstation по новой.

Если нужно поставить какой-то пакет, которого нет в Stable репозиториях, то ищем на оф. сайте программы, скачиваем и собираем вручную, или ищем ".deb" пакет на сайте Debian, скачиваем и ставим через dpkg -i.

Если совсем все плохо, и в вручную не собирается, и deb пакет не ставится (проблема с зависимостями), а скачивать пакеты-зависимости отдельно, а возможно и пакеты-зависимости от пакетов-зависимостей вам в падлу, то можно временно добавить Testing репозиторий.

Делайте так: добавляете Testing репозитории

sudo apt-get update

СТРОГО ТОЛЬКО ЭТУ КОМАНДУ, без upgrade и dist-upgrade, ставите нужный пакет через команду

sudo apt-get install &lt;пакет&gt;/testing

После того как поставился удаляем добавленный Testing репозиторий из файла и еще раз выполняем sudo apt-get update. Будьте внимательны.

Как добавить и удалить Testing репозитории

Прежде чем проводить манипуляции с файлом, сделаем бекап на всякий случай

sudo cp /etc/apt/sources.list.d/debian.list /etc/apt/sources.list.d/debian.list.bak

Для начала войдем в режим работы от root

sudo -i

При необходимости вводим пароль. Затем, для того чтобы добавить Testing репозитории, вводим

echo "deb http://ftp.us.debian.org/debian testing main contrib non-free" &gt;&gt; /etc/apt/sources.list.d/debian.list

Testing репозитории добавлены. Выходим из под root

exit

Обновляем репозитории

sudo apt-get update

Для того чтобы вернуться к первоначальному состоянию, нужно с помощью редактора nano отредактировать файл /etc/apt/sources.list.d/debian.list, удалив последнюю строчку (ту, которую мы добавили при помощи echo).

sudo nano /etc/apt/sources.list.d/debian.list

Удаляем последнюю строку. Или же восстанавливаем файл из созданного ранее бекапа

sudo cp /etc/apt/sources.list.d/debian.list.bak /etc/apt/sources.list.d/debian.list

И снова обновляем репозитории

sudo apt-get update

Пример

sudo apt-get install rofi/testing

Команда установит пакет rofi из Testing репозитория. Поставьте себе менеджер паролей keepassx. KeePassX - это некий сейф для хранения паролей к различный сайтам и сервисам.

sudo apt-get install keepassx

Если вы чувствуете, что где-то накосячили или у вас что-то работает не так, и никак не можете решить эту проблему, даже гугление не помогает, то сносите Workstation и ставьте по новой. В Виртуалбоксе выделяете Whonix Workstation -> жмете правой кнопкой мыши -> жмете удалить -> удалиьт все файлы.

Возвращаетесь в начала стать и ставите Workstation заново. При этом Gateway можете не трогать (если вы и там не на портачили).

Настраиваем Firefox

Настоятельно не рекомендую вам устанавливать какие-либо другие браузеры (Google Chrome, Chromium, Opera, Yandex Browser, Amigo и так далее). Используйте Tor Browser или Firefox.

В Whonix-Workstation предустановлен браузер Firefox ESR (Extended Support Release), далее просто Firefox.

А где же Iceweasel, спросите вы. А нет Iceweasel в Whonix. Приложение iceweasel является симлинком на firefox-esr

user@host:~$ which iceweasel 
/usr/bin/iceweasel
user@host:~$ ls -l /usr/bin/iceweasel 
lrwxrwxrwx 1 root root 30 Dec  1 00:48 /usr/bin/iceweasel -&gt; ../lib/firefox-esr/firefox-esr

Поэтому настраивать будем Firefox. Для начала жмем на иконку "бургер" вверху справа -> жмем Preferences. Переходим во вкладку "Search", в "Default Search Engine" в выпадающем списке выбираем "DuckDuckGo". Гугл не будет искать, если запрос с IP Тора.

Переходим во вкладку "Privacy", В выпадающем списке выбираем "Use custom settings for history", ставим галочку на "Accect cookies from sites", напротив "Accept third-party cookies" в выпадающем списке выбираем "Never", напротив "Keep until" в выпадающем списке выбираем "I close Firefox", отмечаем галочкой "Clear history when FireFox closes".

Теперь изменим конфиг. В адресной строке пишем "about:config", соглашаемся с тем, что будем аккуратны, жмем на кнопку, далее в адресной строке пишем следующие строки и меняем значения

media.peerconnection.enabled = false
geo.enabled = false
browser.send_pings = false
browser.safebrowsing.enabled = false
browser.safebrowsing.malware.enabled = false 
browser.search.suggest.enabled = false

Далее

dom.battery.enabled = false
dom.enable_performance = false
dom.network.enabled = false
dom.storage.enabled = false
network.dns.disablePrefetch = true
network.http.sendSecureXSiteReferrer = false
network.prefetch-next = false
network.proxy.socks_remote_dns = true

Можно еще добавить

network.http.sendRefererHeader = 0
dom.storage.enabled = false

Реализация различных цепочек анонимности

VPN -> Tor -> Интернет

VPN в самом начале используется для того, чтобы скрыть сам факт использования Тор от вашего провайдера.

Самым простым вариантом будет использовать VPN на вашей хост. машине. Цепляем VPN на вашу хост. машину и работаем с Workstation. Траффик будет идти сначала через VPN, затем через Tor на Whonix-Gateway.

Для того чтобы использовать VPN (OpenVPN) на хост. машине, то:

1) Если у вас винда, скачиваете OpenVPN клиент.

2) Если у вас Linux, то ставите пакет openvpn

sudo apt-get install openvpn openssl

3) Если у вас Mac OS X, то ставите TunnelBlick.

Далее скачиваете конфигурационный файл и открываете при помощи вашего OpenVPN клиента.

VPN -> Tor -> VPN -> Интернет

Цепочка, которой хватает для 93% случаев. Второй VPN после Тор используется во-первых, для того, чтобы у вас был нормальный белый IP (если он вам нужен вообще, в зависимости от того, чем вы занимаетесь), а во-вторых спасает от прослушки на выходной ноде Тора, где, если вы заходите на сайт http (не https), то траффик шифроваться не будет.

VPN 1 цепляем на хост. машину, а VPN 2 должен быть на Workstation.

Как подключиться к VPN на Workstation. Как правило, OpenVPN на Workstation уже предустановлен, но можно перепроверить

sudo apt-get install openvpn openssl

Далее скачиваем конфигурационный файл ".ovpn" от вашего VPN-провайдера. Tor не может работать по UDP, поэтому ваш провайдер должен предоставлять вам конфигурационный файл, который работает с VPN-сервером по протоколу TCP. В конфиг. файле должна быть строчка "proto tcp" вместо "proto udp". Подключаемся к VPN

sudo openvpn --config &lt;путь_до_.ovpn&gt;

Сидим и работаем через настроенный Firefox. Тор Браузер по прежнему будет показывать IP Тора, потому что так устроено. Не пытайтесь ничего менять в Тор Браузере. Если нужна цепочка VPN -> Tor -> VPN -> Интернет в браузере, то работаем через Firefox. Открываем Firefox -> заходим на сайт whoer.net -> смотрим свой IP. Если IP не Tor, значит все окей. Проверяем IPшник курлом

curl.anondist-orig https://check.torproject.org/ | grep "IP"

Теперь траффик почти всех приложений идет через VPN -> Tor -> Интернет. Почему я написал "почти всех приложений"? Потому что Whonix устроен таким образом, что некоторые приложения будут миновать этот VPN (2) и соеденяться сразу с Tor, траффик таких приложений будет VPN (1) -> Tor -> Интернет (при условии, что вы подключились к VPN на своей хост. машине).

Вот список этих приложений. Приложения, настроенные на работу таким образом через внутренние настройки

Tor Browser
HexChat
Mozilla Thunderbird with TorBirdy
Instant Messenger
sdwdate
whonixcheck
BitCoin
privoxy
polipo 
Tor Browser Downloader by Whonix
Chat#Ricochet IM 
Mixmaster
KDE application wide proxy settings

Приложения - uwt wrapped

apt-get
aptitude
gpg
ssh
git
wget
curl
mixmaster-update

Список uwt wrapped приложений

apt-get
aptitude
gpg
ssh
git
wget
curl
mixmaster-update

uwt wrapped приложения - это приложения немного модифицированные командой Whonix. Для каждого отдельного uwt wrapped приложения будет использоваться различная цепочка Тор. Например, у приложения curl и у приложения wget будут разные цепочки Тор с Гейтвея. Сравним работу приложений

curl https://check.torproject.org/ | grep "IP"

Данная команда вернет нам наш IP, полученный на сайте check.torproject.org результат выполнения

Your IP address appears to be: 111.111.111.11

А теперь wget

wget -q -O- https://check.torproject.org/ | grep "IP"

Результат выполнени

Your IP address appears to be: 100.000.000.000

Как видите, одна и таже команда вернула нам разные IP.

В системе остались "оригиналы" от этих приложений, которые называются как <название приложения>.anondist-orig

То есть, есть приложение curl, его оригинал называется curl.anondist-orig

Для wget - wget.anondist-orig

Можно сравнить работу оригинального приложения и приложения модифицированного на примерах curl и wget.

Подключимся к VPN на Workstation. Мой VPN IP: 47.100.100.100

Проверяем наш IP через curl

curl https://check.torproject.org/ | grep "IP"

Рузльтат выполнения команды таков

Your IP address appears to be: 51.100.100.100

IP показывает Торовский. Не VPN. А теперь тоже самое, только с командой curl.anondist-orig

curl.anondist-orig https://check.torproject.org/ | grep "IP"

Выдает мой VPN IP

Your IP address appears to be: 47.100.100.100

Как видите, curl и curl.anondist-orig отличаются. Теперь тоже самое с wget.

wget -q -O- https://check.torproject.org/ | grep "IP"

Выдает IP Тора

Your IP address appears to be: 51.100.100.100

Теперь wget.anondist-org:

wget.anondist-orig -q -O- https://check.torproject.org/ | grep "IP"

Выдает IP VPN

Your IP address appears to be: 47.100.100.100

VPN -> Tor -> Proxy (HTTP/SOCKS/и т. д.) -> Интернет (через браузер Firefox)

Допустим мы хотим чтобы у нас был белый IP и при этом у нас есть Proxy (HTTP/SOCKS).

VPN на хост. машине, как в первой цепочке, а прокси ставим в настройки браузера Firefox.

Открываем Firefox -> справа сверху жмем на иконку "бургер" -> жмем "Preferences" -> в появившимся окне переходим во вкладку "Advanced" -> там переходим во вкладку "Network" -> жмем на <Settings>.

Появилось окно с настройками Proxy. Радиобаттаном отмечаем "Manual proxy configuration". Далее, если у вас HTTP прокси, то забиваем их в поле "HTTP Proxy", указав IP и порт, и отмечаем галочкой "Use this proxy server for all protocols".

Если у вас SOCKS4/SOCKS5 прокси, то забиваем их в поле "SOCKS Host", указав IP и порт, при этом отметив нужную версию SOCKS радиобаттоном. При желании можно отметить галочкой "Remote DNS".

Все, настроили Firefox на работу через прокси. Теперь наш траффик VPN -> Tor -> Proxy -> Интернет в Firefox.

Проверяем IP - заходим на whoer.net -> если IP прокси, то все ок.

Я разобрал настройку работы через прокси на примере браузера Firefox. Пустить таким образом траффик можно и с другим приложением, идем в настройки и разбираемся. Желательно не трогать приложения из списка выше.

VPN -> Tor -> SSH-Tunnel (средствами ssh.anondist-orig) -> Интернет (работаем через браузер Firefox)

Вы хотите белый IP на выходе и у вас есть доступ по ssh к какому-то серверу.

Через ssh есть возможность пробросить порт и сделать локальный прокси и настраивать нужное вам приложение на работу уже через этот прокси.

Итак, поскольку uwt wrapped ssh не позволит нам пробросить порт, будет использоваться ssh.anondit-orig (см. выше про uwt wrapped).

ssh.anondist-orig -D 127.0.0.1:port username@ip

Где port - это любое число от 1024 до 65535. Желательно использовать какой-нибудь не стандартный (aka "экзотичекий") порт.

username - логин от сервера

ip - IP адрес сервера

Пример, в моем случае я ввожу

ssh.anondist-orig -D 127.0.0.1:17665 login@100.100.100.100

Ввели команду - вводим пароль и все. Локальная прокся создалась, при этом мы подключились по ssh к серверу. Теперь, для того что бы работать в Firefox через этот созданный прокси (наш ssh), проделываем следующие действия, как из раздела выше.

Открываем Firefox -> справа сверху жмем на иконку "бургер" -> жмем "Preferences" -> в появившимся окне переходим во вкладку "Advanced" -> там переходим во вкладку "Network" -> жмем на "Settings".

Появилось окно с настройками Proxy. Радиобаттаном отмечаем "Manual proxy configuration". В поле "SOCKS Host" забиваем ip "127.0.0.1", в поле "Port" вводим port (в моему случ. это 17665). При желании можно отметить галочкой "Remote DNS".

Все, настроили Firefox на работу через прокси, которую получили при помощи ssh. Теперь наш траффик VPN -> Tor -> SSH-Tunnel -> Интернет в Firefox. Проверяем IP - заходим на whoer.net -> если IP прокси, то все ок.

Пустить таким образом траффик можно и с другим приложением, идем в настройки нужного вам приложения и разбираемся. Желательно не трогать приложения из списка выше.

Проверяем IPшник курлом

curl.anondist-orig --socks5 127.0.0.1:17665 https://check.torproject.org/ | grep "IP"

Для того чтобы закрыть ssh соеденение - вводим в терминале

exit

Вторая часть тут https://t.me/new_infonet


Report Page