[Статья] Организация работы на ОС Whonix

Оф. сайт Whonix

Whonix - это дистрибутив, который базируется на Debian и при этом состоит из двух частей. Когда я говорю "из двух частей", я имею в виду, что для работы Whonix необходимы две виртуальные машины. Первая - это шлюз (Whonix Gateway), который работает только через Tor и Торифицирует абсолютно весь траффик, а вторая - полностью изолированная рабочая станция (Whonix Workstation), настроенная таким образом, что подключается только к шлюзу и берет интернет только оттуда.

Таким образом, абсолютно все приложения, запущенные на рабочей станции пускают свой траффик через Tor, потому что Workstation берет интернет с Gateway. При этом Workstation не знает свой реальный IP адрес, и если рабочую станцию взломают, злоумышленник так и не сможет узнать ваш реальный IP адрес.

Из особенностей Whonix можно выделить также то, что каждое предустановленные в нем приложение работает на отдельном Socks-порту, что означает, что для каждого такого приложения создается отдельная цепочка из узлов Tor. Whonix отлично защищен от утечек DNS. У Whonix хорошая защита от идентификации пользователя при помощи так называемого Fingerprinting.

Ходит какой-то миф, что Tails является самой анонимной ОС, которую когда-либо придумывали. Хочу сказать, что Whonix ничем не хуже в этом плане, а в некоторых моментах даже значитально превосходит.
Tails и Whonix. Оба дистрибутива (или ОС, называйте как хотите) создавались с уклоном в анонимность и безопасность пользователей. И Whonix, и Tails действительно очень хороши и прекрасно выполняют свои функции.
Если не углубляться до технических особенностей каждого из дистрибутивов, то для типичного пользователя принципиальной разницей между ними будет то, что Tails предназначен для использования с USB-FLash накопителе (не рекомендуется ставить на виртуалку), а Whonix в большенстве случаев ставится на виртуалку. А также то, что Tails является "Amnestic", то есть все забывает после перезагрузки, а Whonix нет. Еще одним не мало важным отличием является то, что Whonix более гибок в настройке в принципе, а в настройках различных "Цепочек Анонимностей" в частности (будет разобрано в статье), тут тебе и VPN -> Tor, и VPN -> Tor -> VPN, и VPN - Tor -> Proxy/SSH и еще можно много чего придумать. В Tails, такого сделать нельзя. В Tails весь траффик идет сразу через Тор, и, например, поставить VPN перед Тор уже не получится, только после.

Как по мне, Tails очень удобен, если нужно быстренько воткнуть Флешку, зайти в Интернет, что-то где-то написать и выключить. Для продолжительной работы в Интернете его очень не удобно использовать, чего не скажешь о Whonix.
Конечно можно Tails настроить таким образом, что он не будет забывать нужные вам установленные приложения, конфигурационные файлы, всякие настройки и так далее, но зачем делать такие костыли?

В документации Whonix есть статья со сравнением популярных ОС, с уклоном в анонимность: Статья со сравнениями

Ну и собственно, лично я на вопрос "Почему Whonix, а не Tails?" отвечаю:

1) Потому что для меня этот вариант удобнее. Я работаю с Whonix каждый день.
2) Потому что более гибок в настройке.

Что использовать вам - решайте сами.

Теперь я хотел бы рассказать немного о том, какие вообще существуют способы поставить себе Whonix.

1) Whonix на вируальной машине. В этой статье будет разобран именно этот способ. Это самый простой и распространенный способ поставить себе Whonix. Программой виртуализации у нас будет VirtualBox. В качестве Host OS может использоваться чуть ли не любая операционная система.

2) Qubes-Whonix. Это второй, тоже довольно распространенный способ пустить траффик через Whonix. В качестве хостовой операционной системы используется так называемый Qubes OS, а Whonix-Gateway ставится как виртуалка через встроенные средства виртуализации в Qubes OS.

Подробнее про Qubes-Whonix можно почитать тут
Подробнее про операционную систему Qubes OS можно почитать тут
Статья SleepWalker'a о Qubes OS на Runion - Статья

3) Виртуализация KVM. Третий способ ставить Хуникс. Используется виртуализатор qemu-kvm или подобное.

4) Возможно физическое разделение виртуальных машин Whonix Workstation и Whonix Gateway

ЧИТАТЬ ВСЕМ!!
Сущесвует некоторая проблема при запуске графических приложений из под root (или через sudo), из терминала.
Будет ошибка, что-то вроде Cannot open DISPLAY :0 или подобная. (GTK WARNING)
Почему это нас касается? Потому что такие графические текстовые редакторы, как kwrite или mousepad не будут открываться через sudo, соответсвенно вы не сможете отредактировать файл, к которому у вас не прав на запись.
Я нашел два следующих решения проблемы.

1) С использованием gksu/gksudo.

sudo apt-get install gksu

gksudo <название приложения> <аргументы приложения>

gksu <название приложения> <аргументы приложения>

gksudo kwrite /boot/grub/grub.cfg - вводим пароль от user. Откроет файл в редакторе kwrite.
gksudo mousepad /boot/grub/grub.cfg - вводим пароль от user. Откроет файл в редакторе mousepad (если стоит).
gksu kwrite /boot/grub/grub.cfg - вводим пароль от root. Откроет файл в редакторе kwrite.
gksu mousepad /boot/grub/grub.cfg - вводим пароль от root. Откроет файл в редакторе mousepad (если стоит).
gksudo thunar - вводим пароль от user. Откроет файловый менеджер Thunar (если стоит).
gksudo dolphin - вводим пароль от user. Откроет файловый менеджер Dolphin.
gksu thunar - вводим пароль от root. Откроет файловый менеджер Thunar (если стоит).
gksu dolphin - вводим пароль от root. Откроет файловый менеджер Dolphin.

2) С копированием .Xauthority в домашнюю папку root (/root). xhost +.

sudo -i

***** /home/user/.Xauthority /root/

xhost +

Если кто-то нашел решение этой проблемы получше, то не молчите, должите об этом.

Вкратце расскажу основные горячие клавиши при работе с консольным редактором nano.
nano <путь до файла> - открываем файл в nano.
Ctrl+O - сохранить. Записать изменения в файл. Жмем Ctrl+O, потом Enter.
Ctrl+X - выйти из nano.
Ctrl+K - вырезать целую строку. Будет скопировано в буфер обмена.
Ctrl+U - вставить вырезанную строку, которая находится в буфере обмена.
Ctrl+W - поиск по файлу. Поиск в редаткоре, вводим че нужно -> жмем интер.

Разве трудно? Это вы еще Emacs не видели.

Если хотим скопировать часть текста, в самом редакторе выделяем мышкой нужный текст и жмем комбинацию Ctrl+Shift+C. Это скопировать.
Для того того чтобы вставить текст, который сейчас находится в буфере обмена, жмем комбинацию Ctrl+Shift+V.

Не забывайте вводить sudo nano если редактируете файл, к которому у вас нет прав на запись.

Покопавшись в некоторых конфигах, можно ускорить запуск виртуалок секунд на 12 или даже больше.
Данную операцию можно проделать на обеих виртуалках.
Сначала отключим или уменьшим таймаут GRUB.
Для редактирования файлов я буду использовать nano, вы можете использовать kwrite.
Редактируем файл /etc/default/grub через nano:

sudo nano /etc/default/grub

-> в самом верху ищем строчку GRUB_TIMEOUT и меняем значение "5" на что-то поменьше, например "2" или "1".
Мне таймаут не нужен, я его вовсе отключу и поставлю "0". 
Отредактировать файл также можно через графический текстовый редактор, по умолчанию в Whonix стоит kwrite. (смотрите выше про запуск граф. приложений и решение проблемы с ошибкой).
Вводим:

sudo kwrite /etc/default/grub

-> меняем значение -> сохраняем через Ctrl+S -> закрываем.

Переконфигурируем GRUB. Вводим:

sudo grub-mkconfig -o /boot/grub/grub.cfg

Готово.

Убираем 10 секундную задержку.
Данную операцию можно проделать на обеих виртуалках.
Еще способ ускорить запуск - убрать или уменьшить 10 секундную задержку при загрузке виртуалок. При запуске Whonix, существует 10 секндная задержка для того, чтобы вы могли успеть нажать Ctrl+C, тем самым дать Хуниксу команду автоматически не запускать Login Manager (по-умолчанию kdm).

Нужно отредактировать файл /etc/rads.d/30_default.conf, но сначала сделаем backup:

sudo ***** /etc/rads.d/30_default.conf /etc/rads.d/30_default.conf.bak

Теперь редактируем:

sudo nano /etc/rads.d/30_default.conf

-> ищем строчку rads_wait_seconds -> меняем значение на поменьше, я поставлю "2" -> сохраняем -> выходим.
Если вовсе хотите отключить эту задержку, то чуть выше есть строчка rads_wait со значением "1", меняем на "0", а строчку rads_wait_seconds закоментируем (в начале строки введите символ '#') -> сохраняем -> выходим.

Допустим произошла ситуация, и нам нужно перекинуть файл/архив/и т.д. с хостовой машины, на нашу Workstation, или наоборот, с Workstation на хостовую машину.
В данном случае можно воспользоваться файлообменниками, залить файл/архив на файлообменник, поставить пароль и скачать по ссылке на ту машину, на которую нам нужно. А после скачивания удалить файл. Или если файл с текстовым содержимым, то можно само содержимое залить на privnote.com, поставить пароль на скачивание и по ссылке перейти к содержимому.

Но можно воспользоваться так называемыми общими папками.
Кому не понятно, схема простая. Существует папка на хост. машине и на Workstation, и если туда поместить какой-либо файл, то содержимое этих папок будет общим у обеих машин.
Общие папки могут быть созданы на обеих виртуалках.

Итак, приступим.
На хост. машине создаем любую папку, в любом месте.
Далее, если у вас включен Workstation - вырубаем его (sudo poweroff в терминале).
Идем в виртуалбокс, открываем настройки Whonix-Workstation.
Переходим во вкладку "Shared Foldes" -> жмем на иконку папочки с плюсом -> в первом поле указываем путь до созданной папки на хост. машине -> во второй главе обязательно вводим имя "shared" -> ставим галочку на Auto-Mount (Автомонтирование) -> остальные галки оставляем пустыми -> применяем настройки, жмем Ок -> включаем Whonix-Workstation.

Скриншот:

Общая папка на самом Workstation находится по пути /mnt/shared/.
И теперь, если мы хотим получить файл с хост. машины, то просто помещаем его в папку, которую создавали и содержимое отобразится на Workstation в папке /mnt/shared/

После того как все перекинули, рекомендую отключить общие папки.
В настройках Workstation, во вкладке "Shared Folders" -> выбираете вашу папку -> жмете на иконку папки с минусом -> применяете настройки.

Если создавать общую папку на Whonix-Gateway и выбрать ту же самую папку, которая является общей для хост. машины и Workstation, то это будет работать и тогда у вас будет общая папка для трех машин.

Сразу предупреждаю, что эту фичу лучше не включать из соображений безопасности.
Но уж если очень приспичило, то:

В VirtualBox открываем настройки Whonix-Workstation, в первой вкладке General (на рус. Общее) -> переходим в подвкладку Advanced -> далее первая кновпка с раскрывающимся списком (англ. "Shared Clipboard") -> выбираем последний пункт (англ. "Bidirectional").

Все, теперь можете копировать на хост. машине и вставлять на WS и наоборот.
Используйте фичу на свой страх и риск.

Скриншот:

По умолчанию в Debian дерьмовое отображение шрифтов. Глаза режет, да так, что аж слезятся!
Мы попытаемся это исправить и сделаем чуточку лучше.
Ставим шрифт Droid Sans:

sudo apt-get install fonts-droid

Все. Шрифт стоит. Открываем System Settings -> Application Appearance -> вкладка Fonts.
Меняем "DejaVu Sans" во всех строчках на "Droid Sans". Можно еще "Поиграться со шрифтами", но Droid Sans выглядит вполне прилично.
В этой же вкладке в "Use anti-alising" ставим значение на "Enabled" -> Apply.

Еще можем поставить хорошую группу шрифтов Ubuntu Font Family. В репозиториях их нет, поэтому ставим вручную.
Cоздаем временную папочку для шрифтов и переходим туда:

mkdir ~/fonts; cd ~/fonts/

Скачиваем zip архив со шрифтами в текущую папку:

wget -O ubuntu-font-family.zip https://font.ubuntu.com/download/ubuntu-font-family-0.83.zip

(для того чтобы вставить текст в терминале, вместо привычных ctrl+v используем ctrl+shift+v, скопировать из терминала аналогично).
(шрифты можно скачать и через браузер, по ссылке: Ubuntu Font Family)
Находясь в папке ~/fonts/, выполняем:

unzip -d ubuntu-fonts ubuntu-font-family.zip

Открываем файловый менеджер, в нашем случае это Dolphin, идем в папку, куда сохранили zip архив со шрифтами.
Кликаем дважды -> разархивируем в эту же папку -> идем в разархивированную папку.
Нас интересуют все файлы с расширением ".ttf". Кликаем дважды на файл -> Открывается Font Manager -> жмем Insall -> Personal -> закрываем -> делаем все тоже самое с остальными файлами ".ttf".

Но можно установить и проще:
Открываем терминал, идем в папку со скаченными шрифтами:

cd ~/fonts/ubuntu-fonts

Создаем папку для шрифтов ubuntu:

mkdir -p ~/.fonts/ubuntu

Копируем все туда (вы должны находиться в папке со шрифтами, файлы с расширением ".ttf"):

***** *.ttf ~/.fonts/ubuntu

-> выполняем в консоли:

fc-cache

Теперь у нас стоит Ubuntu Font Family. Точно также идем в настройки шрифтов, и можем поменять шрифты на Ubuntu.
Перезагружаем:

sudo reboot

Для терминала я использую шрифт Hack, но вы можете использовать Ubuntu Mono.
Ставим Hack. Идем в нашу папочку fonts:

cd ~/fonts/

(можно скачать через браузер  с оф.сайта, по ссылке: Шрифт Hack
скачиваем шрифт:

wget -O ~/fonts/hack-ttf.zip https://github.com/chrissimpkins/Hack/releases/download/v2.020/Hack-v2_020-ttf.zip

Разархивируем:

unzip -d hackfont hack-ttf.zip

Ставим шрифт:

mkdir -p ~/.fonts/hack; ***** ~/fonts/hackfont/*.ttf ~/.fonts/hack/
fc-cache

Теперь стоит шрифт Hack.

Скачиваем deb-пакет Infinality в домашнюю папку:

wget -O ~/infinality.deb https://launchpad.net/~no1wantdthisname/+archive/ubuntu/ppa/+files/fontconfig-infinality_20130104-0ubuntu0ppa1_all.deb

Устанавливаем:

sudo dpkg -i ~/infinality.deb

Альтернативная установка Infinality, с добавлением репозиториев (если не получилось установить способом выше).

sudo nano /etc/apt/sources.list.d/debian.list

"deb https://ppa.launchpad.net/no1wantdthisname/ppa/ubuntu trusty main
deb-src https://ppa.launchpad.net/no1wantdthisname/ppa/ubuntu trusty main"

apt-key adv --keyserver keyserver.ubuntu.com --recv-keys E985B27B

sudo apt-get update

sudo apt-get install fontconfig-infinality

Как только пакет установился, выполняем:

sudo bash /etc/fonts/infinality/infctl.sh setstyle

-> выбираем вариант "3" .
После этого редактируем файл /etc/profile.d/infinality-settings.sh :

sudo nano /etc/profile.d/infinality-settings.sh

-> ищем строку "USE_STYLE=". Вместо значения "DEFAULT", можно поставить одно из значений, перечисленных чуть выше в файле. Я ставлю значение "UBUNTU". Получилось USE_STYLE="UBUNTU" -> сохраняю -> закрываю.
Перезагружаем:

sudo reboot

Не знаю как у вас, но у меня всё стало выглядить несколько приличнее.

Лично я запуская GW в консольном режиме, потому что во-первых GUI жрет не мало RAM, во-вторых GUI по большому счету не нужен GW - все операции можно провести через консоль, все ярлыки на раб. столе спокойно заменяются командами в консоли.

Итак, для того чтобы запускать GW в консольном режиме, нужно выделить виртуалке поменьше RAM. По-умолчанию, минимально значение RAM, которое должно быть выделено для GW, чтобы он запускался в GUI режиме - 480mb. Значит, если выделено меньше 480mb, то GW запустится в консольном режиме.
Идем в виртуалбокс, выбираем GW -> жмем настройки -> переходим на вкладку "System" ->  перемещаем ползунок.
Выбираем значение меньше 480.

Но что делать, если мы хотим выделить GW побольше RAM, скажем, 512 или оставить 768, но при этом запускать в консольном режиме? Объясняю:
Редактируем файл /etc/rads.d/30_default.conf:

sudo nano /etc/rads.d/30_default.conf

-> ищем строчку "rads_minimum_ram". Эта строчка сообщает системе, какое минимальное количество RAM должно быть выделено, чтобы машина запускалась в GUI режиме. Как видите, по умолчанию стоит 480. Берем и меняем значение на любое другое, скажем, 1024 -> сохраняем -> выходим. Идем в настройки вирт. машины Gateway (выше) и выделяем сколько нужно RAM и в пределах 1024mb - будет запускаться в консольном режиме.

Опишу за что отвечает тот или иной ярлык на Whonix Gateway.
И если вы планируете работать с Gateway в консольном режиме, то я также объясню, как заменить тот или иной ярлык командой в консоли.
Грубо говоря, ярлыки условно можно разделить на пять групп:

1) Ярлыки, для управления Tor (Stop Tor, Reload Tor, Restart Tor)
2) Ярлыки, для управления Firewall (Global Firewall Settings, User Firewall Settings, Reload Firewall)
3) Ярлыки, для редактирования конфигурационных файлов Tor (Tor User Config, Tor Examples, Tor Data)
4) Ярлыки Whonix (WhonixCheck, WhonixSetup, Whonix Repository)
5) Остальные ярлыки - приложения (Konsole, Arm)

Поехали.
Stop Tor - остановить службу Tor. После выполнения пропадет интернет и приложения на Whonix Workstation работать не будут.

Заменяется следующей командой в консоли:

sudo service tor@default stop

Reload Tor - перезагружает службу Tor. При выполнении перечитывает конфигурационные файлы и  перезагружает цепочку Тор для приложений на Whonix Workstation.

Заменяется следующей командой в консоли:

sudo service tor@default reload

Restart Tor - перезапускает службу Tor. Трудно сейчас будет объяснить чем отличается от Reload Tor. Сначала служба Tor останавливается, затем запускается по новой. Если вам нужно перезагрузить цепочку, то используйте Tor Reload.

Заменяется следующей командой в консоли:

sudo service tor@default restart

Global Firewall Settings - открывает глобальные настройки Firewall по адресу /etc/whonix_firewall.d/30_default.conf в текстовом редакторе kwrite. Если вы не знаете, зачем это нужно, то данный ярлык не используйте.

Заменяется следующей командой в консоли:

sudo nano /etc/whonix_firewall.d/30_default.conf

User Firewall Settings - открывает пользовательские настройки Firewall по адресу /etc/whonix_firewall.d/50_user.conf в текстовом редакторе kwrite. Если вы не знаете, зачем это нужно, то данный ярлык не используйте.

Заменяется следующей командой в консоли:

sudo nano /etc/whonix_firewall.d/50_user.conf

Reload Firewall - перезагружает Firewall, если вдруг вы внесли изменения в /etc/whonix_firewall.d/30_default.conf или /etc/whonix_firewall.d/50_user.conf.

Заменяется следующей командой в консоли:

sudo whonix_firewall

Tor User Config - открывает основной конфигурационный файл /etc/tor/torrc в текстовом редакторе kwrite. Если вы не знаете ничего про конфигурационный файл torrc, зачем он нужен, что туда добавлять и как с ним работать, то неичего там не меняйте.

Заменяется следующей командой в консоли:

sudo nano /etc/tor/torrc

Tor Examples - открывает файл /etc/tor/torrc.examples, который является примерно конфигурационного файла /etc/tor/torrc в текстовом редакторе в режиме "только для чтения". Это пример, в этом файле не нужно ничего редактировать. Если интересно - можете почитать.

Заменяется следующей командой в консоли:

nano /etc/tor/torrc.examples

Tor Data - открывает папку /var/lib/tor/ в файловом менеджере Dolphin.

Заменяется следующей командой в консоли:

cd /var/lib/tor/

WhonixCheck - запускает проверку. Нельзя запускать от рута.

Заменяется следующей командой в консоли:

whonixcheck

WhonixSetup - запускает Хуниксовский Setup Wizard.

Заменяется следующей командой в консоли:

sudo whonixsetup

Arm - мощный инструмент для мониторинга Тор. С помощью него можно контролировать Тор различным образом.

Заменяется следующей командой в консоли:

arm

Прежде чем проводить манипуляции с файлом, сделаем бекап на всякий случай.
Вводим:

sudo ***** /etc/apt/sources.list.d/debian.list /etc/apt/sources.list.d/debian.list.bak

Для начала войдем в режим работы от root:

sudo -i

при необходимости вводим пароль.
Затем, для того чтобы добавить Testing репозитории, ввоодим:

echo "deb https://ftp.us.debian.org/debian testing main contrib non-free" >> /etc/apt/sources.list.d/debian.list

Testing репозитории добавлены. Выходим из под root, вводим: exit
Обновляем репозитории, делаем: sudo apt-get update
Для того чтобы вернуться к первоначальному состоянию, нужно:
с помощью редактора nano отредактировать файл /etc/apt/sources.list.d/debian.list, удалив последнюю строчку (ту, которую мы добавили при помощи echo).

sudo nano /etc/apt/sources.list.d/debian.list

удаляем последнюю строку.

Или же восстанавливаем файл из созданного ранее бекапа:

sudo ***** /etc/apt/sources.list.d/debian.list.bak /etc/apt/sources.list.d/debian.list

И снова обновляем репозитории:

sudo apt-get update

Почему немножечко? Потому что этот раздел я буду доделывать. 
Настоятельно не рекомендую вам устанавливать какие-либо другие браузеры (Google Chrome, Chromium, Opera, Yandex Browser, Amigo и так далее). Используйте Tor Browser или Firefox.
В Whonix-Workstation предустановлен браузер Firefox ESR (Extended Support Release), далее просто Firefox.
А где же Iceweasel, спросите вы. А нет Iceweasel в Whonix.
Приложение iceweasel является симлинком на firefox-esr:

user@host:~$ which iceweasel 
/usr/bin/iceweasel
user@host:~$ ls -l /usr/bin/iceweasel 
lrwxrwxrwx 1 root root 30 Dec  1 00:48 /usr/bin/iceweasel -> ../lib/firefox-esr/firefox-esr

Поэтому настраивать будем Firefox.
Для начала жмем на иконку "бургер" вверху справа -> жмем Preferences.
Переходим во вкладку "Search", в "Default Search Engine" в выпадающем списке выбираем "DuckDuckGo".
Гугл не будет искать, если запрос с IP Тора.

Переходим во вкладку "Privacy",
В выпадающем списке выбираем "Use custom settings for history",
ставим галочку на "Accect cookies from sites",
напротив "Accept third-party cookies" в выпадающем списке выбираем "Never",
напротив "Keep until"  в выпадающем списке выбираем "I close Firefox",
отмечаем галочкой "Clear history when FireFox closes".

Теперь изменим конфиг.
В адресной строке пишем "about:config",
соглашаемся с тем, что будем аккуратны, жмем на кнопку,
далее
в адресной строке пишем следующие строки и меняем значения:

Те что выше, обязательно меняйте значения. Особенно первые три строчки. Особенно первую (отключение WebRTC).

Далее...

Можно еще аккуратно добавить эти два:

Но лично у меня добавление первого сломало аутентификацию на авито, а добавление второго некоторый функционал на авито.
Использование остальных параметров лично у меня не привело ни к какому дискомфорту.

Дополнительно можете почитать эту тему: Настройка анонимной Мозиллы

Настройка Firefox на этом не заканчивается.
Этот раздел я допилю.

Классика. VPN в самом начале используется для того, чтобы скрыть сам факт использования Тор от вашего провайдера.

Самым простым вариантом будет использовать VPN на вашей хост. машине.
Цепляем VPN на вашу хост. машину и работаем с Workstation.
Траффик будет идти сначала через VPN, затем через Tor на Whonix-Gateway.

Для того чтобы использовать VPN (OpenVPN) на хост. машине, то:
1) Если у вас винда, скачиваете OpenVPN клиент отсюда.
2) Если у вас Linux, то ставите пакет openvpn (sudo apt-get install openvpn openssl)
3) Если у вас Mac OS X, то ставите TunnelBlick.

Далее скачиваете конфигурационный файл и открываете при помощи вашего OpenVPN клиента.

Цепочка, которой хватает для 93% случаев.
Второй VPN после Тор используется во-первых, для того, чтобы у вас был нормальный белый IP (если он вам нужен вообще, в зависимости от того, чем вы занимаетесь), а во-вторых спасает от прослушки на выходной ноде Тора, где, если вы заходите на сайт http (не https), то траффик шифроваться не будет.

VPN(1) цепляем на хост. машину, а VPN(2) должен быть на Workstation.

Как подключиться к VPN на Workstation:
Как правило, OpenVPN на Workstation уже предустановлен, но можно перепроверить:

sudo apt-get install openvpn openssl

Далее скачиваем конфигурационный файл ".ovpn" от вашего VPN-провайдера.

Tor не может работать по UDP, поэтому ваш провайдер должен предоставлять вам конфигурационный файл, который работает с VPN-сервером по протоколу T*****. В конфиг. файле должна быть строчка "proto t*****" вместо "proto udp".

Подключаемся к VPN, вводим команду:

sudo openvpn --config <путь_до_.ovpn>

Сидим и работаем через настроенный Firefox. Тор Браузер по прежнему будет показывать IP Тора, потому что так устроено. Не пытайтесь ничего менять в Тор Браузере. Если нужна цепочка VPN(1) -> Tor -> VPN(2) -> Интернет в браузере, то работаем через Firefox.
Открываем Firefox -> заходим на сайт whoer.net -> смотрим свой IP.
Если IP не Tor, значит все окей.

Проверяем IPшник курлом:

curl.anondist-orig https://check.torproject.org/ | grep "IP"

Теперь траффик почти всех приложений идет через VPN -> Tor -> Интернет.
Почему я написал "почти всех приложений"? Потому что Whonix устроен таким образом, что некоторые приложения будут миновать этот VPN(2) и соеденяться сразу с Tor, траффик таких приложений будет VPN(1) -> Tor -> Интернет (при условии, что вы подключились к VPN на своей хост. машине).

Вот список этих приложений.
Приложения, настроенные на работу таким образом через внутренние настройки:

Tor Browser
HexChat
Mozilla Thunderbird with TorBirdy
Instant Messenger
sdwdate
whonixcheck
BitCoin
privoxy
polipo 
Tor Browser Downloader by Whonix
Chat#Ricochet IM 
Mixmaster
KDE application wide proxy settings

Приложения - uwt wrapped:

apt-get
aptitude
gpg
ssh
git
wget
curl
mixmaster-update

О uwt wrapped приложениях.

apt-get
aptitude
gpg
ssh
git
wget
curl
mixmaster-update

curl https://check.torproject.org/ | grep "IP"

<p>Your IP address appears to be:  <strong>163.172.157.153</strong></p>

wget -q -O- https://check.torproject.org/ | grep "IP"

<p>Your IP address appears to be:  <strong>80.67.172.162</strong></p>

curl https://check.torproject.org/ | grep "IP"

<p>Your IP address appears to be:  <strong>51.15.44.128</strong></p>

curl.anondist-orig https://check.torproject.org/ | grep "IP"

<p>Your IP address appears to be:  <strong>47.202.130.106</strong></p>

wget -q -O- https://check.torproject.org/ | grep "IP"

<p>Your IP address appears to be:  <strong>149.202.98.160</strong></p>

wget.anondist-orig -q -O- https://check.torproject.org/ | grep "IP"

<p>Your IP address appears to be: <strong>47.202.130.106</strong></p>

Допустим мы хотим чтобы у нас был белый IP и при этом у нас есть Proxy (HTTP/SOCKS).
Не буду писать о том, что прокси бывают разные и устроены они по разному. И откуда вы их берете меня тоже не волнует.
Это отдельный разговор вне этой статьи.

VPN на хост. машине, как в первой цепочке, а прокси ставим в настройки браузера Firefox.
Открываем Firefox -> справа сверху жмем на "бургер" -> жмем "Preferences" -> в появившимся окне переходим во вкладку "Advanced" -> там переходим во вкладку "Network" -> жмем на <Settings>.

Повилось окно с настройками Proxy. Радиобаттаном отмечаем "Manual proxy configuration".
Далее, если у вас HTTP прокси, то забиваем их в поле "HTTP Proxy", указав IP и порт, и отмечаем галочкой "Use this proxy server for all protocols".

Если у вас SOCKS4/SOCKS5 прокси, то забиваем их в поле "SOCKS Host", указав IP и порт, при этом отметив нужную версию SOCKS радиобаттоном. При желании можно отметить галочкой "Remote DNS".

Все, настроили Firefox на работу через прокси. Теперь наш траффик VPN -> Tor -> Proxy -> Интернет в Firefox.
Проверяем IP - заходим на whoer.net -> если IP прокси, то все ок.

Я разобрал настройку работы через прокси на примере браузера Firefox.
Пустить таким образом траффик можно и с другим приложением, идем в настройки и разбираемся.
Желательно не трогать приложения из списка выше, под спойлером.

Вы хотите белый IP на выходе и у вас есть доступ по ssh к какому-то серверу.
Через ssh есть возможность пробросить порт и  сделать локальный прокси и настраивать нужное вам приложение на работу уже через этот прокси.

Итак, поскольку uwt wrapped ssh не позволит нам пробросить порт, будет использоваться ssh.anondit-orig (см. выше про uwt wrapped).

Вводим:

ssh.anondist-orig -D 127.0.0.1:port username@ip

Где port - это любое число от 1024 до 65535. Желательно использовать какой-нибудь не стандартный (aka "экзотичекий") порт.
username - логин от сервера.
ip - IP адрес сервера.

Пример, в моем случае я ввожу:

ssh.anondist-orig -D 127.0.0.1:17665 [email protected]

Ввели команду - вводим пароль и все. Локальная прокся создалась, при этом мы подключились по ssh к серверу.
Теперь, для того что бы работать в Firefox через этот созданный прокси (наш ssh), проделываем следующие действия, как из раздела выше:

Открываем Firefox -> справа сверху жмем на иконку "бургер" -> жмем "Preferences" -> в появившимся окне переходим во вкладку "Advanced" -> там переходим во вкладку "Network" -> жмем на <Settings>.

Повилось окно с настройками Proxy. Радиобаттаном отмечаем "Manual proxy configuration".
В поле "SOCKS Host" забиваем ip "127.0.0.1", в поле "Port" вводим port (в моему случ. это 17665). При желании можно отметить галочкой "Remote DNS".

Все, настроили Firefox на работу через прокси, которую получили при помощи ssh.
Теперь наш траффик VPN -> Tor -> SSH-Tunnel -> Интернет в Firefox.
Проверяем IP - заходим на whoer.net -> если IP прокси, то все ок.

Пустить таким образом траффик можно и с другим приложением, идем в настройки нужного вам приложения и разбираемся.
Желательно не трогать приложения из списка выше, под спойлером. Настоятельно рекомендую этого не делать.

Проверяем IPшник курлом:

curl.anondist-orig --socks5 127.0.0.1:17665 https://check.torproject.org/ | grep "IP"

Для того чтобы закрыть ssh соеденение - вводим exit в терминале.

Есть прекрасная программа, называется sshuttle. Думаю, не многие про нее слышали.
Репозиторий разработчика на Github
Оф. документация sshuttle

Расскажу про нее в кратце.
Она что-то вроде VPN, только работает с ssh. Не совсем VPN, но и не совсем обычный проброс портов.
Программа заворачивает весь ваш IPv4 траффик в ssh-туннель. Траффик всех приложений.
Делает она это при помощи правил в iptables.
При этом не требует админский прав на сервере, к которому есть доступ по ssh. На сервере должен быть установлен Python 2.7 или Python 3.5. В 98% случаев Python на серверах стоит.
Также программа поддерживает туннелирование DNS траффика, для этого добавляется опция --dns.

Поддерживает Linux и Mac OS X. Винду официально не поддерживает.
Использовать можно не только на Whonix, а вообще, потому что программа достоина внимания.
Возьмите ее на заметку.

ATTENTION!!!
Если вы используете sshuttle для туннелирования всего траффика, то Тор Браузер и uwt wrapped приложения из списка выше (curl, wget, ssh, git, apt-get и т.д.) не будет работать, как в случае с VPN(2) (где они его обходили и получалась цепочка "VPN -> Tor -> Интернет").
Потому что sshuttle создает правила в iptables.
Остальные приложения функционируют нормально, в том числе и браузер Firefox, о примере которого дальше пойдет речь.
Если вы используете sshuttle и вам вдруг приспичило заюзать curl/git/apt-get или что-то еще из uwt wrapped приложений, то используйте их аналоги, которые я рассматривал выше (curl.anondist-orig, git.anondist-orig, apt-get.anondist-orig и т.д.).

Используем.
Устанавливаем sshuttle:

sudo apt-get install sshuttle

После установки ничего не нужно дополнительно конфигурировать.
Запускается все следующим образом:

sudo sshuttle -r username@ip:port 0.0.0.0/0 -vv

где username - логин к ssh серверу,
ip - IP адрес сервера,
port - порт, по кторому доступен ssh на сервере, по-умолчанию это 22, если не менялся.
опция -vv - verbose mode.

Вводим пароль, сначала от user на Whonix, затем от пользователя на сервере.
Теперь весь наш IPv4 траффик туннелирован.
Проверяем. Открываем Firefox, заходим на whoer.net, смотрим свой IP адрес. Радуемся.
При этом, конечно же, в настройках прокси в Firefox, радиобаттоном должно быть отмечено "No proxy".

Для туннелирования еще и dns траффика, будет следующая команда:

sudo sshuttle --dns -r username@ip:port 0.0.0.0/0 -vv

Проверяем IPшник курлом:

curl.anondist-orig https://check.torproject.org/ | grep "IP"

На этом все.

Для браузера Firefox, а соответственно и для Тор Браузера тоже (потому что Тор Браузер основан на Firefox) существует хороший аддон для работы с проксями - FoxyProxy Standart.
FoxyProxy Standart по своему функционалу полностью заменяет стандартную фичу с настройками проксей в браузерах Firefox/Tor Browser.

Поскольку в настройках проксей в Тор Браузере уже прописано SOCKS5 127.0.0.1:9150, что не позволяет нам написать туда что-либо еще, то мы будем использовать этот аддон.

Устанавливаем аддон.
Для начала идем по ссылке: Аддон FoxyProxy.
Там жмем на синюю кнопку <Continue to Download> -> на сл. стр. жмем <Add to Firefox> -> во всплывающем окне жмем <Install> -> после этого перезапускаем Тор Браузер.
Все, аддон стоит.

Аддон позволяет добавлять сразу несколько проксей и менять их в пару нажатий, что довольно удобно.

Настраиваем прокси.
В Тор Браузере, справа от адресной строки, появилась иконка "Лисы". Жмем на нее -> попадаем в окно с настройками.
Интерфейс окна с настройками интуитивно понятен, разберетесь сами (полазайте), но я опишу как настроить прокси.

Итак, в окне жмем <Add New Proxy>.
Теперь отмечаем кружочком (радиобаттон) "Manual Proxy Configuration"
Напротив поля "Host or IP Address" вводим ip прокси. Напротив Port - порт.
Если прокси SOCKS, отмечаем это галочкой, и выбираем версию (SOCKS5 или SOCKS4).
При этом, если прокси у вас HTTP/HTTPS, так же есть возможность использовать Аутентификацию (чего нельзя в стандартных настройках).
Использовать Аутентификацию, если у вас SOCKS, к сожалению, нельзя (используйте proxychains или пробрасывайте порты с ssh).

В случае, если у вас уже есть Proxy(HTTP/SOCKS), то просто заполняем все поля, и жмем ОК.
В случае, если у вас есть доступ по ssh к серверу, то сначала пробрасываем порт (делаем локальный прокси, смотрите реализацию цепочки "VPN -> Tor -> SSH-Tunnel (средствами ssh.anondist-orig) -> Интернет"), затем заполняем все поля.

Для того чтобы включить нужный вам прокси (а добавить вы могли несколько), нужно:
Нажать ПКМ на иконку с "лисой" -> выбрать "Use Proxy <прокси, который вы добавили> for all URLs".
Иконка лисы станет другово цвета. Все будет работать, если ваш прокси не дохлый.

Проверяем, идем на whoer.net, смотрим IP.
Congratulations. This browser is configured to use Proxy.

Для того чтобы отключить: ПКМ на иконку с "лисой", выбираем вариант "Completely Disable FoxyProxy"

Ох ебать тя занесло братишь.
Комбинируем следующие цепочки:
"VPN(1) -> Tor -> VPN(2) -> Интнернет" и "VPN(1) -> Tor -> Proxy(HTTP/SOCKS) -> Интернет" или "VPN -> Tor -> SSH-Tunnel (средствами ssh.anondist-orig) -> Интернет."
Читайте выше.

VPN(1) - на хост. машину. VPN (2) - на Workstation, точно также, как делали цепочку "VPN(1) -> Tor -> VPN(2)  -> Интернет.".
Далее, настраиваем Firefox на работу через Proxy/SOCKS встроенными средствами в Firefox, как в разобранных цепочках выше ("VPN -> Tor -> Proxy(HTTP/SOCKS/и тд.) -> Интернет").
Это если у вас уже есть прокси/socks.

А если у вас есть доступ по ssh к серверу, то создаем локальный прокси и настраеваем на работу через него нужное вам приложение (выше было разобрано на примере Firefox, в цепочке "VPN -> Tor -> SSH-Tunnel (средствами ssh.anondist-orig) -> Интернет.").

В кратце, все выглядит примерно так:
1) VPN(1) цепляем на вашу хост. машину
2) VPN(2) ставим на Workstation.
3) Если у вас есть Proxy/SOCKS, то настраеваем работу приложение через них.
4) Если у вас есть доступ по ssh, то делаете локальный прокси, и настраиваете работу нужного приложния через него.

Да, это тоже будет работать. На выходе будет IP с ssh.
Комбинируем следующие цепочки:
"VPN(1) -> Tor -> VPN(2) -> Интнернет" и "VPN -> Tor -> SSH-Tunnel (средствами sshuttle) -> Интернет"..
Читайте выше.

Все выглядит примерно так:
1) VPN(1) цепляем на вашу хост. машину
2) VPN(2) ставим на Workstation (читайте выше).
3) Используем sshuttle. Прочитать вы можете выше ("VPN -> Tor -> SSH-Tunnel (средствами sshuttle) -> Интернет").
4) Работаем. При этом, как и было описано выше в разделе про sshuttle, не будут работать uwt wrapped приложения (можно заменить) и Тор Браузер в частности. Остальные приложения пашут нормально, в том числе и браузер Firefox.

ATTENTION!!!
Здесь мы работаем на Whonix Gateway, смотрите не перепутайте виртуалки.

Если у вас вдруг нет VPN, который вы могли бы прицепить на хост. машину, то еще одним способом скрыть факт использования Тор от провайдера является использование проксей и прописывание их в основной конфигурационный файл Тор (/etc/tor/torrc) на Whonix Gateway.
Для реализации подобной цепочки, нам необходимы прокси HTTP/HTTPS/SOCKS4/SOCKS5. Подойдут прокси с аутентификацией.
Будем работать на Gateway, копаться в кофигурационном файле /etc/tor/torrc.

Итак, для того чтобы наш траффик шел сначала через прокси, а затем через Тор, нам нужно в конфигурационном файле /etc/tor/torrc на Gateway прописать работу через прокси.

Как это сделать.
Для начала на всякий случай сделаем бекап файла:

sudo ***** /etc/tor/torrc ~/torrc.orig

Теперь открываем /etc/tor/torrc:
С ярлыка на Gateway (Tor User Config), или вводим:

sudo nano /etc/tor/torrc

Первоначальный вид конфиг. файла:

# This file is part of Whonix
# Copyright (C) 2012 - 2013 adrelanos <adrelanos at riseup dot net>
# See the file COPYING for copying conditions.

# Use this file for your user customizations.
# Please see /etc/tor/torrc.examples for help, options, comments etc.

# Anything here will override Whonix's own Tor config customizations in
# /usr/share/tor/tor-service-defaults-torrc

# Enable Tor through whonixsetup or manually uncomment "DisableNetwork 0" by
# removing the # in front of it.
DisableNetwork 0

Теперь, в зависимости от того, какого у вас типа прокси, нам нужно добавить одни из следующихъ строк.

Если у вас SOCKS5 прокси.

Socks5Proxy host[:port]

Socks5Proxy 185.187.113.110:12759

Socks5Proxy host[:port]
Socks5ProxyUsername username
Socks5ProxyPassword password

Socks5Proxy 185.187.113.110:12759
Socks5ProxyUsername pprunion
Socks5ProxyPassword superPPrunion111

# This file is part of Whonix
# Copyright (C) 2012 - 2013 adrelanos <adrelanos at riseup dot net>
# See the file COPYING for copying conditions.

# Use this file for your user customizations.
# Please see /etc/tor/torrc.examples for help, options, comments etc.

# Anything here will override Whonix's own Tor config customizations in
# /usr/share/tor/tor-service-defaults-torrc

# Enable Tor through whonixsetup or manually uncomment "DisableNetwork 0" by
# removing the # in front of it.
DisableNetwork 0
Socks5Proxy 185.187.113.110:12759
Socks5ProxyUsername pprunion
Socks5ProxyPassword superPPrunion111

sudo service tor@default restart

Если у вас SOCKS4 прокси.

Socks4Proxy 185.187.113.110:12759

# This file is part of Whonix
# Copyright (C) 2012 - 2013 adrelanos <adrelanos at riseup dot net>
# See the file COPYING for copying conditions.

# Use this file for your user customizations.
# Please see /etc/tor/torrc.examples for help, options, comments etc.

# Anything here will override Whonix's own Tor config customizations in
# /usr/share/tor/tor-service-defaults-torrc

# Enable Tor through whonixsetup or manually uncomment "DisableNetwork 0" by
# removing the # in front of it.
DisableNetwork 0
Socks4Proxy 185.187.113.110:12759

sudo service tor@default restart

Если у вас HTTP прокси.

HTTPProxy host[:port]

HTTPProxy 185.187.113.110:12759

HTTPProxyAuthenticator username:password

HTTPProxy 185.187.113.110:12759
HTTPProxyAuthenticator pprunion:superHTTPproxyPP111

# This file is part of Whonix
# Copyright (C) 2012 - 2013 adrelanos <adrelanos at riseup dot net>
# See the file COPYING for copying conditions.

# Use this file for your user customizations.
# Please see /etc/tor/torrc.examples for help, options, comments etc.

# Anything here will override Whonix's own Tor config customizations in
# /usr/share/tor/tor-service-defaults-torrc

# Enable Tor through whonixsetup or manually uncomment "DisableNetwork 0" by
# removing the # in front of it.
DisableNetwork 0
HTTPProxy 185.187.113.110:12759
HTTPProxyAuthenticator pprunion:superHTTPproxyPP111

sudo service tor@default restart

Если у вас HTTPS прокси.

HTTPSProxy host[:port]

HTTPSProxy 185.187.113.110:12759

HTTPSProxyAuthenticator username:password

HTTPSProxy 185.187.113.110:12759
HTTPSProxyAuthenticator pprunion:superHTTPproxyPP111

# This file is part of Whonix
# Copyright (C) 2012 - 2013 adrelanos <adrelanos at riseup dot net>
# See the file COPYING for copying conditions.

# Use this file for your user customizations.
# Please see /etc/tor/torrc.examples for help, options, comments etc.

# Anything here will override Whonix's own Tor config customizations in
# /usr/share/tor/tor-service-defaults-torrc

# Enable Tor through whonixsetup or manually uncomment "DisableNetwork 0" by
# removing the # in front of it.
DisableNetwork 0
HTTPProxy 185.187.113.110:12759
HTTPProxyAuthenticator pprunion:superHTTPproxyPP111

sudo service tor@default restart

В итоге, после того как мы пропиали нужную вам прокси и перезапустили Tor, теперь наш траффик идет сначала через указанный прокси, а затем через Tor.

Если вы где-то что-то напортачили, сделали не так, или сделали так, что все не работает, то восстанавливаем оригинальный torrc из созданного ранее бекапа:

sudo ***** ~/torrc.orig /etc/tor/torrc

Оригинальный файл восстановлен.

Комбинируем следующие цепочки:
"Proxy(HTTP/SOCKS) -> Tor -> Интернет" и "VPN -> Tor -> Интернет"..
Читайте выше.

Получается так:
1) Вы подключаете к VPN на своей хост. машине
2) Вы прописываете нужный вам прокси в конфигурационный файл /etc/tor/torrc НА GATEWAY!(!!!)

Все.

Исходя из прочтения способов реализации всех вышеперечисленных цепочек, вы сами можете включить смекалочку и скомбинировать нужную вам цепочку. Пробуйте.

Proxychains - еще одна полезная программа для проксифицирования отдельного приложения, которую я сейчас в кратце рассмотрю.
Оф. сайт оригинального Proxychains

Последнее обновление оригинального проксичейнс вышло в 2006 году (proxychains v3.1). Но работает до сих пор.
Однако, я не знаю, могло ли произойти такое, что за 10 лет без обновлений в программе нашлись какие-то уязвимости или может она работает с какими-то утечками и так далее. Но форумчане используют, говорят все нормально.

На Github существует два форка proxychains, которые переодически обновляются:

1) https://github.com/rofl0r/proxychains-ng
2) https://github.com/haad/proxychains

По-умолчанию в Debian устанавливается оригинальный proxychains (в Арч, например, ставится proxychains-ng).
Но я рекомендую ставить именно proxychains-ng. Он лучше.
Исправлены некоторые ошибки, по сравнению с оригиналом и все же разработка продолжается и поддерживается, проект не заброшен, как в случае с оригинальным proxychains.
Именно на примере данного форка я буду разбирать работу.

Теперь перейдем к использованию. Последняя версия Proxychains-ng на момент написания статьи - v4.11. Чекайте обновления на Github разработчиков.
Скачиваем проксичейнс:

wget -O ~/proxychains-ng.tar.bz2 https://github.com/rofl0r/proxychains-ng/releases/download/v4.11/proxychains-ng-4.11.tar.bz2

После скачивания, разархивируем:

cd ~/; tar -xf ~/proxychains-ng.tar.bz2

Теперь собираем:

cd ~/proxychains-ng/
sudo ./configure --prefix=/usr --sysconfdir=/etc
make
sudo make install
sudo make install-config

Конфигурационный файл довольно простой и находится по адресу /etc/proxychains.conf
Оригинал конфиг. файла proxychains:

# proxychains.conf  VER 4.x
#
#        HTTP, SOCKS4a, SOCKS5 tunneling proxifier with DNS.


# The option below identifies how the ProxyList is treated.
# only one option should be uncommented at time,
# otherwise the last appearing option will be accepted
#
dynamic_chain
#
# Dynamic - Each connection will be done via chained proxies
# all proxies chained in the order as they appear in the list
# at least one proxy must be online to play in chain
# (dead proxies are skipped)
# otherwise EINTR is returned to the app
#
#strict_chain
#
# Strict - Each connection will be done via chained proxies
# all proxies chained in the order as they appear in the list
# all proxies must be online to play in chain
# otherwise EINTR is returned to the app
#
#round_robin_chain
#
# Round Robin - Each connection will be done via chained proxies
# of chain_len length
# all proxies chained in the order as they appear in the list
# at least one proxy must be online to play in chain
# (dead proxies are skipped).
# the start of the current proxy chain is the proxy after the last
# proxy in the previously invoked proxy chain.
# if the end of the proxy chain is reached while looking for proxies
# start at the beginning again.
# otherwise EINTR is returned to the app
# These semantics are not guaranteed in a multithreaded environment.
#
#random_chain
#
# Random - Each connection will be done via random proxy
# (or proxy chain, see  chain_len) from the list.
# this option is good to test your IDS :)

# Make sense only if random_chain or round_robin_chain
#chain_len = 2

# Quiet mode (no output from library)
#quiet_mode

# Proxy DNS requests - no leak for DNS data
proxy_dns 

# set the class A subnet number to use for the internal remote DNS mapping
# we use the reserved 224.x.x.x range by default,
# if the proxified app does a DNS request, we will return an IP from that range.
# on further accesses to this ip we will send the saved DNS name to the proxy.
# in case some control-freak app checks the returned ip, and denies to 
# connect, you can use another subnet, e.g. 10.x.x.x or 127.x.x.x.
# of course you should make sure that the proxified app does not need
# *real* access to this subnet. 
# i.e. dont use the same subnet then in the localnet section
#remote_dns_subnet 127 
#remote_dns_subnet 10
remote_dns_subnet 224

# Some timeouts in milliseconds
t*****_read_time_out 15000
t*****_connect_time_out 8000

### Examples for localnet exclusion
## localnet ranges will *not* use a proxy to connect.
## Exclude connections to 192.168.1.0/24 with port 80
# localnet 192.168.1.0:80/255.255.255.0

## Exclude connections to 192.168.100.0/24
# localnet 192.168.100.0/255.255.255.0

## Exclude connections to ANYwhere with port 80
# localnet 0.0.0.0:80/0.0.0.0

## RFC5735 Loopback address range
## if you enable this, you have to make sure remote_dns_subnet is not 127
## you'll need to enable it if you want to use an application that 
## connects to localhost.
# localnet 127.0.0.0/255.0.0.0

## RFC1918 Private Address Ranges
# localnet 10.0.0.0/255.0.0.0
# localnet 172.16.0.0/255.240.0.0
# localnet 192.168.0.0/255.255.0.0

# ProxyList format
#       type  ip  port [user pass]
#       (values separated by 'tab' or 'blank')
#
#       only numeric ipv4 addresses are valid
#
#
#        Examples:
#
#            	socks5	192.168.67.78	1080	lamer	secret
#		http	192.168.89.3	8080	justu	hidden
#	 	socks4	192.168.1.49	1080
#	        http	192.168.39.93	8080	
#		
#
#       proxy types: http, socks4, socks5
#        ( auth types supported: "basic"-http  "user/pass"-socks )
#
[ProxyList]
# add proxy here ...
# meanwile
# defaults set to "tor"
socks4 	127.0.0.1 9050

Разберем основные параметры:
Если раскоментировано, то....
dynamic_chain - будет перебирать прокси в том порядке, как вы их задали, при этом пропуская мертвые.
strict_chain - будет делать цепочку прокси в том порядке, как вы их задали, при этом все прокси должны быть живые. Если будет одна мертвая прокся, то программа не сможет выполниться.
proxy_dns - проксифицирует dns.
chain_len - указываете длину цепочки.

Это основные параметры, с вам вероятнее всего придется столкнуться.
Я вообще ничего не трогаю и мой конфиг. файл остался таким, как в оригинале (только прокси добавил).

Теперь про добавление прокси.
Дальше, после надписи "[ProxyList]" идут прокси. Одна прокся - одна строка.
Чуть выше в конфиг. файле есть примеры прописывания разных проксей:

Examples:
socks5	192.168.67.78	1080	lamer	secret //socks5 с аутентификацией
socks5  192.168.67.78	1080                   // просто socks5
http	192.168.89.3	8080	justu	hidden //httpс аутентификацией
socks4	192.168.1.49	1080 		       // socks4
http	192.168.39.93	8080		       // просто http

По-умолчанию проксичейнс сконфигурирован на работу через Tor, но учитывая специфику данного дистрибутива,
Вам нужно обязательно удалить или закомментировать (символ "#" в начале строки) следующую строчку:

socks4 127.0.0.1 9050

Я добавил свои socks5 c аутентификацией в конфиг. файл(последняя строка), и теперь он выглядет след. образом:

# proxychains.conf  VER 4.x
#
#        HTTP, SOCKS4a, SOCKS5 tunneling proxifier with DNS.


# The option below identifies how the ProxyList is treated.
# only one option should be uncommented at time,
# otherwise the last appearing option will be accepted
#
dynamic_chain
#
# Dynamic - Each connection will be done via chained proxies
# all proxies chained in the order as they appear in the list
# at least one proxy must be online to play in chain
# (dead proxies are skipped)
# otherwise EINTR is returned to the app
#
#strict_chain
#
# Strict - Each connection will be done via chained proxies
# all proxies chained in the order as they appear in the list
# all proxies must be online to play in chain
# otherwise EINTR is returned to the app
#
#round_robin_chain
#
# Round Robin - Each connection will be done via chained proxies
# of chain_len length
# all proxies chained in the order as they appear in the list
# at least one proxy must be online to play in chain
# (dead proxies are skipped).
# the start of the current proxy chain is the proxy after the last
# proxy in the previously invoked proxy chain.
# if the end of the proxy chain is reached while looking for proxies
# start at the beginning again.
# otherwise EINTR is returned to the app
# These semantics are not guaranteed in a multithreaded environment.
#
#random_chain
#
# Random - Each connection will be done via random proxy
# (or proxy chain, see  chain_len) from the list.
# this option is good to test your IDS :)

# Make sense only if random_chain or round_robin_chain
#chain_len = 2

# Quiet mode (no output from library)
#quiet_mode

# Proxy DNS requests - no leak for DNS data
proxy_dns 

# set the class A subnet number to use for the internal remote DNS mapping
# we use the reserved 224.x.x.x range by default,
# if the proxified app does a DNS request, we will return an IP from that range.
# on further accesses to this ip we will send the saved DNS name to the proxy.
# in case some control-freak app checks the returned ip, and denies to 
# connect, you can use another subnet, e.g. 10.x.x.x or 127.x.x.x.
# of course you should make sure that the proxified app does not need
# *real* access to this subnet. 
# i.e. dont use the same subnet then in the localnet section
#remote_dns_subnet 127 
#remote_dns_subnet 10
remote_dns_subnet 224

# Some timeouts in milliseconds
t*****_read_time_out 15000
t*****_connect_time_out 8000

### Examples for localnet exclusion
## localnet ranges will *not* use a proxy to connect.
## Exclude connections to 192.168.1.0/24 with port 80
# localnet 192.168.1.0:80/255.255.255.0

## Exclude connections to 192.168.100.0/24
# localnet 192.168.100.0/255.255.255.0

## Exclude connections to ANYwhere with port 80
# localnet 0.0.0.0:80/0.0.0.0

## RFC5735 Loopback address range
## if you enable this, you have to make sure remote_dns_subnet is not 127
## you'll need to enable it if you want to use an application that 
## connects to localhost.
# localnet 127.0.0.0/255.0.0.0

## RFC1918 Private Address Ranges
# localnet 10.0.0.0/255.0.0.0
# localnet 172.16.0.0/255.240.0.0
# localnet 192.168.0.0/255.255.0.0

# ProxyList format
#       type  ip  port [user pass]
#       (values separated by 'tab' or 'blank')
#
#       only numeric ipv4 addresses are valid
#
#
#        Examples:
#
#            	socks5	192.168.67.78	1080	lamer	secret
#		http	192.168.89.3	8080	justu	hidden
#	 	socks4	192.168.1.49	1080
#	        http	192.168.39.93	8080	
#		
#
#       proxy types: http, socks4, socks5
#        ( auth types supported: "basic"-http  "user/pass"-socks )
#
[ProxyList]
# add proxy here ...
# meanwile
# defaults set to "tor"
#socks4 127.0.0.1 9050
socks5 185.187.113.110:12759 pprunion superPPrunion111

Теперь о том, как работает proxychains.
Если вы ставили proxychains-ng, то команда proxychains4, если ставили оригинальный proxychains, то команда proxychains.

Работает proxychains следующим образом:

proxychains4 <приложение> <аргументы>

Например.
Запускаем firefox через proxychains:

proxychains4 firefox

Заходим на whoer.net, смотрим IP.

Запускаем curl через proxychains, грепаем IPшник с сайта torproject:

proxychains4 curl.anondist-orig https://check.torproject.org/ | grep "IP"

Вот в принципе и весь функционал.

После установки xfce4, у вас скорее всего будет проблема с запуском существующих приложений с ярлыков на раб. столе. При нажатии на ярлыке, всплывет окно "Untrusted application launcher", с кнопкой <Launch anyway>, при нажатию на которую, приложение все же запускается.

Скриншот:

Происходит это потому, что существующие ярлыки (которые остались от KDE4) на раб. столе являются симлинками на другие ярлыки, которые находятся в папке /usr/share/applications/, у которых нет права на выполнение.

Нужно дать права на запуск.
Последовательно выполняем ниже приведенные команды:

sudo chmod +x $(ls ~/Desktop/ | grep ".desktop" | sed -e 's/^/\/usr\/share\/applications\//' | tr '\n' ' ')

konsole и kgpg находятся в другой папке, поэтому вводим отдельно:

sudo chmod +x /usr/share/applications/kde4/{kgpg.desktop,konsole.desktop}

Когда вы создаете новый ярлык, при первом запуске ярлыка это окно все равно будет появляться, но там будет кнопка <Mark Executable>, жмем ее и все будет четко.

Поскольку люди иногда пишут, что Tor Browser Downloader работает некорректно, было принято решение написать эту небольшую инструкцию.
Если у вас Tor Browser Downloader работает нормально, у вас скачивается и обновляется Тор Браузер без проблем, то можете не читать.

Симптомы следующие:

1) Скрипт (Tor Browser Downloader) ОЧЕНЬ долго скачивает Тор Браузер (говорили, 2-3 часа, да и то в конце какая-то херь и все слетало)
2) Скрипт выдает ошибку о том, что сервера Хуникс работают некорректно с просьбой подождать и воспользоваться скриптом позже.

О других симптомах пока не сообщалось.

Итак,

Переходим на оф. сайт torproject, переходим во вкладку Download. Когда перешли, если попали на страницу загрузки с версией для Linux 64-bit и 32-bit - все хорошо, жмем на ссылку и СКАЧИВАЕМ ВЕРСИЮ 32-Bit. 32!!! В противном случае (если попали на другую страницу, с загрузкой для Винды), ищем ссылку "View All Downloads", переходим по ней и уже на другой страницу раскрываем список с Linux. Там жмем на ссылку на скачиваем 32-Bit. Смотрите скрин ниже.

Когда нажали на ссылку, выскочит диалоговое окно с предложением или открыть файл (Open File) или сохранить его (Save File), жмем сохранить. По-умолчанию в браузере Firefox не будет спрашивать место для сохранения и все загрузки по-умолчанию будут бросаться в папку Downloads, которая находится по адресу ~/Downloads. Скачается архив с расширением .tar.xz.

Следующим этапом после того как архив скачался и лежит в папке ~/Downloads будет проверка подписи. При проверке подписи вы убеждаетесь в том, что то, что лежит на сайте torproject и то, что сейчас лежит у вас в папке Downloads - это одно и то же.

Согласно инструкции на сайте tor project сначала мы должны импортировать себе ключ разработчиков Tor Browser.

Открываем терминал и пишем:

gpg --keyserver pool.sks-keyservers.net --recv-keys 0x4E2C6E8793298290

После:

gpg --fingerprint 0x4E2C6E8793298290

После этого вы должны увидеть:

    pub   4096R/93298290 2014-12-15
          Key fingerprint = EF6E 286D DA85 EA2A 4BA7  DE68 4E2C 6E87 9329 8290
    uid                  Tor Browser Developers (signing key) 
    sub   4096R/F65C2036 2014-12-15
    sub   4096R/D40814E0 2014-12-15
    sub   4096R/C3C07136 2016-08-24

Таким образом мы импортировали ключ.

Возвращайтесь на страницу загрузки, где переходили по ссылке, и под кнопкой на которую вы жали будет небольшая ссылка (sig), жмете на нее и попадаете на страницу с ключем (обычный набор текста). Смотрите скрин ниже.

Скриншот:

Вы должны создать любой файл в одной папке со скаченным архивом (в данном случае папка Downloads) и поместить в этот файл этот ключ.
Можно сделать это через файловый менеджер, можно через Терминал.

Например:

nano ~/Downloads/tor-key.asc

Данная команда сразу откроет файл tor-key.asc в редакторе nano (даже если этот файл не существовал), в папке ~/Downloads.
Из браузера копируем этот ключ и вставляем в файл. Я копирую ctrl+c из браузера, вставляю в редакторе nano ctrl+shift+v.
Сохраняем.

Скриншот:

Теперь мы имеем два файла в нашей папке Downloads - tor-key.asc и архив с Tor Browser.
Архив, который вы скачали, будет называться по разному в зависимости от версии Tor Browser, который переодически обновляется.

Для того чтобы проверить подпись, мы воспользуемся программой gpg (консольной), а именно командой gpg --verify .

Работает это следующий образом:

gpg --verify <ключ> <файл>

В нашем случае, для того чтобы верифицировать, мы открываем терминал и пишем следующее:

cd ~/Downloads
gpg --verify tor-key.asc tor-browser-linux32*.tar.xz

В моем случае на момент написания данной инструкции файл архива называется "tor-browser-linux32-6.5.1_en-US.tar.xz", в вашем случае он может иметь другое название, поскольку Браузер обновляется - название скачиваемого архива меняется.
Помочь может маска, которую я исползовал в коде выше - tor-browser-linux32*.tar.xz.

Вы должны увидеть что-то вроде этого:

gpg: Signature made Mon 06 Mar 2017 03:12:14 PM UTC
gpg:                using RSA key 0xD1483FA6C3C07136
gpg: Good signature from "Tor Browser Developers (signing key) <[email protected]>" [unknown]
gpg: WARNING: This key is not certified with a trusted signature!
gpg:          There is no indication that the signature belongs to the owner.
Primary key fingerprint: EF6E 286D DA85 EA2A 4BA7  DE68 4E2C 6E87 9329 8290
     Subkey fingerprint: A430 0A6B C93C 0877 A445  1486 D148 3FA6 C3C0 7136

Где ключевыми словами будут являться "Good signature from...".
В противном случае, вы сделали что-то не так. Переделывайте.

Скриншот:

Теперь, после проверки подписи, можем ставить Тор Браузер.
Алгоритм простой -  нужно разархивировать содержимое скачанного архива в папку ~/.tb/
Вернее не совсем так. На момент написания статьи в архиве есть папка, которая называется tor-browser_en-US. Так вот, нужно поместить ее в папку "~/.tb" и переименовать в "tor-browser".

То есть, по итогу в папке ~/.tb/ должна находиться папка tor-browser, содержащая следующие файлы:
файл - start-tor-browser и папка - Browser.

.tb - скрытая папка в домашней дериктории пользователя. В Linux все скрытые файлы и папки начинаются с символа "."
Поэтому ваш файловый менеджер может не показывать их (нужно лезть в настройки файлового менеджера и сделать, чтобы отображались скрытые файлы и папки). Настройки каждого файлового менеджера отличаются.

Показать скрытые файлы и папки:

Если папки .tb не существует, то создайте ее. В файл. мееджере сделать это легко, только не забудьте поставить символ "." в начале названия. (.tb).

Через терминал создается так:

mkdir ~/.tb

А перед тем как разархивировать в "~/.tb", не мешало бы очистить эту папку полностью.

В терминале это делается следующим образом:

rm -rf ~/.tb/*

Будьте крайне осторожны с командой выше, прописывайте путь очень внимательно, одна небольшая ошибка - и один только бог знает что вы там удалите.

Очистить все также можно через файловый менеджер - переходите в папку и все удаляете.

Теперь разархивируем содержимое архива в папку .tb:
Надеюсь вы умеете работать с архивами, потому что это подробно я описывать не буду.
Открываете архив и делаем так, чтобы в папке .tb находилась папка "tor-browser" (tor-browser_en-US просто переименуйте), содержание которой:
файл - start-tor-browser
папка - Browser

Напишу лишь, как сделать это через терминал.
Переходим в папку ~/Downloads и разархивируем при помощи команды tar:

cd ~/Downloads
tar -xf tor-browser-linux32*.tar.xz

Здесь опять же, название моего и вашего файла могут отличаться, поэтому помогает маска.
Результатом команды - разархивировалась папка tor-browser_en-US.
Переименовываем папку:

mv ~/Downloads/tor-browser_en-US ~/Downloads/tor-browser

Теперь копируем содержимое этой папки в ~/.tb:

***** -r ~/Downloads/tor-browser ~/.tb

Все, браузер стоит. Несмотря на то, что написано тут много - это элементарные шаги и делается это все в течении 5-ти минут.

Запустить Тор Браузер можно из терминала, вводом команды:

torbrowser

Ярлык на рабочем столе Tor Browser должен работать. Но если этого не произошло, выполняем следующее:
На рабочем столе созаем любой файл с расширением ".desktop", и помещаем туда следующее:

## This file is part of Whonix.
## Copyright (C) 2012 - 2014 Patrick Schleizer <[email protected]>
## See the file COPYING for copying conditions.

[Desktop Entry]
Exec=torbrowser %u
Type=Application
Name=Tor Browser (AnonDist)
GenericName=Privacy Browser
Comment=Start Tor Browser (AnonDist)
Categories=Network;
Icon=/usr/share/icons/anon-icon-pack/torbrowser.png
X-KDE-StartupNotify=false
Keywords=browser;privacy;Tor;
MimeType=text/html;text/xml;application/xhtml+xml;application/xml;application/vnd.mozilla.xul+xml;application/rss+xml;application/rdf+xml;image/gif;image/jpeg;image/png;x-scheme-handler/http;x-scheme-handler/https;

Иногда по тем или иным причинам может возникнуть потребность перенести виртуалки Whonix-Workstation и Whonix-Gateway на другой жесткий диск/компьютер/ноутбук/и т.п., поэтому я решил написать это инструкцию.

Для начала хотел бы описать и немного другие способы решить эту проблему.

Но если нужно именно перенести виртуалки, то читаем дальше.

Если вы не особо настраивали Whonix-Gateway, то идея переносить его кажется мне сомнительной, поскольку проще будет просто создать новый и настроить по-новой, уйдет на это около 5-10 минут.
А вот Whonix-Workstation вы могли долго настраивать, и обойтись 5-10 минутами в случае установки по-новой не сможете. Переносить одну виртуалку или две - решайте сами.

Алгоритм переноса достаточно прост:

1) Установить, где хранятся папки с виртуалками.
2) Скопировать всю папку, перенести куда вам нужно.
3) На другом VirtualBox добавить новую машину, с помощью импортирования файла с расширением .vbox в VirtualBox.

VirtualBox хранит все файлы виртуалок в отдельных папках. На каждую виртуалку приходится отдельная папка с файлами. Для того чтобы понять, где VirtualBox хранит эти папки, нужно зайти в настройки и посмотреть.

(напоминаю вам, что у меня все на английском, поэтому или учим инглиш или включаем смекалку).

Открываем VirtualBox > жмем <File> > далее <Preferences> > откроется окошко с настройками VirtualBox. Нам нужна первая вкладка General (ru. - общие). Там напротив поля Default Machine Folder (ru. - папки для машин по-умолчанию) будет указан путь, показывающий папку, в которую VirtualBox создает и помещает папки с виртуалками.

Скриншот:

После того как мы узнали где хранятся папки с виртуалками, следующим шагом будет перейти к папкам и тупо скопировать их куда вам нужно (например на флешку). Название папки будет соответствовать названию виртуалки. Допустим, у меня есть виртуалка Whonix-Workstation, называется она whonix-ws (смотрите скрин ниже) и мне нужно ее перенести на другой комп. Я иду по пути, где хранятся папки с виртуалками, нахожу там папку whonix-ws, копирую ее на флешку.

Скриншот:

На другом компьютере, вы по аналогии должны найти где хранятся папки с виртуалками, затем просто поместить туда ранее скопированную папку с другого компьютера. После этого нужно добавить виртуалку в VirtualBox. Делается это с помощью добавления файла с расширением .vbox из папки c вируталкой в VirtulBox.

Открываем VirtualBox, жмем <Machines> -> затем <Add> -> откроется окно, где вы должны указать путь до файла .vbox. Находится он в папке, которую вы перемещали (он там единственный). Смотрите скриншот ниже.

После сих действий виртуалка добавится. Запускайте и пользуйтесь.

Скриншот:

Вопрос о безопасности Телеграмм остается открытым и горячо обсуждаемым.
Я не буду здесь писать, безопасен он или нет. Могу лишь сказать, если у вас есть возможность минимизировать количество используемых месседжеров и вы можете обойтись без Телеграмм, то не ставьте. Но если вдруг вам по какой-то причине понадобился этот месседжер от Паши Дурова, то вот инструкция.

Алгоритм простой:
1) Скачиваем 32-битную версию Telegram-Desktop
2) Распаковываем
3) Пользуемся.

Если кто не знал, существует web-версия Телеграмм, которой вы также можете воспользоваться.

Ставим Телеграмм одной командой в Терминале:

wget -O ~/tsetup.tar.xz https://telegram.org/dl/desktop/linux32 && tar -xz ~/tsetup.tar.xz

[Desktop Entry]
Version=1.0
Type=Application
Name=Telegram Desktop
Comment=Official desktop version of Telegram messaging app
Exec=/home/user/Telegram/Telegram -- %u
Icon=telegram
Path=
Terminal=false
StartupNotify=false

nano ~/Desktop/telegram.desktop

chmod 744 ~/Desktop/telegram.desktop

Приступим.
Открываем Тор Браузер.
Нам нужно перейти на официальный сайт Telegram и на главной странице, пролистав немного вниз, находим напись "Telegram for PC/Mac/Linux", жмем на нее и попадаем на страницу Telegram Desktop.

По-умолчанию на этой странице мы сможем скачать только версию для Windows, однако мы жмем на ссылку "Show all platforms" и раскрывается список с версиями Telegram Desktop под разные платформы.
Нам нужна, конечно же, Linux, а именно - Linux 32-bit. ИМЕННО 32 BIT!

Жмем "Get Telegram Linux 32 bit" -> Тор Браузер предложит выбрать, куда сохранить архив.
И на этом моменте будьте внимательнее, Тор Браузер предложит по-умолчанию сохранить в папку, которая НАХОДИТСЯ ВНУТРИ папки с Тор Браузер.

Мы сохраняем архив в домашнюю дерикторию пользователя user. То есть, /home/user (папка user).

Скачается архив с расширением .tar.xz.
Теперь архив с Телеграмм находится в папке ~/
Содержимое архива - папка Telegram, содержащая все необходимые файлы.

Осталось только разархивировать. Делается это легко, я думаю вы и сами в состоянии. Открываем файл архиватором, разархивируем папку Telegram в домашнюю дерикторию пользователя (~/).

Или через терминал слудющим образом:

tar -xf tsetup*.tar.xz

Название скачанного архива может отличаться в зависимости от версии Телеграм. В данном случае я разархивирую по маске.

В папке Telegram есть исполняемый файл Telegram, дважды кликнув на который, о чудо, открывается Телеграмм.

Скриншот:

Создаем ярлык Телеграмм на рабочей столе:

[Desktop Entry]
Version=1.0
Type=Application
Name=Telegram Desktop
Comment=Official desktop version of Telegram messaging app
Exec=/home/user/Telegram/Telegram -- %u
Icon=telegram
Path=
Terminal=false
StartupNotify=false

nano ~/Desktop/telegram.desktop

chmod 744 ~/Desktop/telegram.desktop

Кажется, этого в статье не было, однако настройка раскладок - достаточно востребованно.
Опишу настрайку раскладок в двух DE - KDE4 (по-умолчанию в Whonix) и xfce4.

Начнем с KDE4.
Открываете настройки (Menu -> System Settings), там ищите Input Devices, далее в разделе Keyboard открываете вкладку Layouts.
Тут и настраиваются раскладки. Внизу ставите галочку на "Configure layouts" -> затем жмете <Add>, в появившемся окне в первом поле ищите Russian,
жмете ОК, добавится русская раскладка. Далее, в этом же окне Layouts сверху справа можете настроить комбинацию клавиш, по которой будет переключаться раскладка.
Поле <Main shortcut>, жмете на кнопку, там выбираете комбинацию, я выбираю Alt+Shift.

Внизу на панели появилась иконка с буквами, по ней вы можете ориентироваться. В этом же окне Layouts сверху справа можно нстроить индикатор.
Например, если отметить "Show flag", то будет показываться флаг страны, вместо букв. А если "Show label on flag", то буквы будут показываться поверх флага.

Далее, существует также виджет для панели.
Кликаете на панель ПКМ -> выбираете <Add Widgets>. Появится горизонтальная панель, прокручивать список можно колесиком мыши. Прокручиваем и находим виджет "Keyboard Layout".
Кликаем дважды на него и виджет появляется на панели. Тот же самый, что и был до этого, но побольше.
Кстати, можете и другие нужные вам виджеты добавить.

Удалить виджет можно если ПКМ по панели -> Panel Setings, оттуда управлять виджетами.

Скриншот KDE4:

Теперь про xfce4.
Все достаточно просто заходим в настройки (Menu -> Settings Manager), там находим <Keyboard>,  в нем идем во вкладку <Layout>, там сначала снимаем галочку с "Use system defaults", потом жмем <Add>, в списке ищем <Russian> и не раскрывая список, добавляем - OK.

Скриншот xfce4:

Теперь нам нужно добавить виджет.
Жмем ПКМ по панели -> <Panel> -> <Panel Preferences>. Откроется настройка панели.
Идем во вкладку <Items> - там будут отбражены все виджеты, которые есть на панели.
Этими виджатами можно управлять - ставить левее или правее в панели, также у некоторых виджетов есть настройки.

Вы должны нажать на иконку <+> - добавить виджет. Из списка вам нужно найти <Keyboard Layouts> и нажать <Add>. Теперь виджет добавился на панель, но нам его нужно настроить. Можете виджет поставить правее или левее на палени - стрелочками. Кликаем по виджету и по иконке с настройками -> откроется окно настройки виджета. Там мы можем задать комбинацию клавиш, по которой будет переключаться раскладка и некоторые другие настройки.

Change layous option - выбираете комбинацию клавиш.

На этом все.

Скриншот xfce4:

Есть возможность сделать и запускать несколько Whonix-Workstation одновременно. Зачем вам это может понадобиться, я не знаю. Много чего можно придумать. И если вдруг приспичило...

В оф. документации Whonix реализация этого описана на этой странице.

Алгоритм:
1) Импортируем Whonix-Workstation
2) Правим конфиг /etc/network/interfaces.d/30_non-qubes-whonix

Для начала импортируем Whonix-Workstation, абсолютно также, как мы это делали ранее, с одним уточнением: меняем имя в графе "Name", когда импортируете.

Скриншот:

После этого идем в настройки виртуалки, вкладка Network -> Adapter 1.
Там жмем на "Advanced" и раскроется доп. раздел, там напротив поля "MAC Address", внезапно, мак адрес, а еще левее - кнопка, по нажатию на которую генерируется новый MAC. ЖМЕМ ЕЕ!!

Скриншот:

Далее, запускаем виртуалку. Ей автоматически присвоится адрес 10.152.152.11. Этот адрес уже есть у другого (первого) Workstation, поэтому второму / третьему / пятому Workstation нужно присвоить другой IP адрес.

Делается это путем редактирования файла /etc/network/interfaces.d/30_non-qubes-whonix.

Я, как всегда, буду редактировать в консольном редакторе nano:

sudo nano /etc/network/interfaces.d/30_non-qubes-whonix

Вы можете при помощи графического редактора:

kdesudo kwrite /etc/network/interfaces.d/30_non-qubes-whonix

В файле, чуть ниже, натыкаемся на эту конструкцию:

auto eth0
iface eth0 inet static
       ## Increment last octet of address
       ## on optional additional workstations.
       address 10.152.152.11
       netmask 255.255.192.0
       gateway 10.152.152.10

Где мы просто в строчке address должны поменять последний октет адреса 10.152.152.11 на, например, 10.152.152.12 / 10.152.152.13 / 10.152.152.14 / 10.152.152.15 и так далее. Главное чтобы эти адреса не были УЖЕ заняты.

Сохраняем файл -> закрываем.
В терминале вводим:

sudo service networking restart

Далее...
Перезагружемся -> sudo reboot.

Скриншот:

После перезагрузки, проверяем, присвоился ли IP адрес:

sudo ifconfig eth0

В строка "inet addr:<ip>", должен отобраиться IP, который вы вводили ранее в файле.
Если все ок - работайте (whonixcheck можно еще).
Если нет, значит что-то сделали не так - переделывайте.

Все.

Может ли кому-то понадобиться запускать параллельно несколько Тор Браузеров на Whonix-Workstation?
Я отвечу да, фича в некоторых случаях может быть полезной.
Вы можете спросить, а почему бы просто не воспользоваться браузером Firefox? - Потому что в Тор Браузере хорошие настройки и патчи безопаности "из коробки".

Кстати, лучше будет, если вы запилите себе несколько Workstation, о чем я уже написал в статье.

В этой инструкции я научу вас запускать несколько Тор Браузеров параллельно.

Если в кратце, все выглядит следующим образом:

1) Нужны копии Тор Браузеров лежащие в разных папках.
2) В настройках прокси копии Тор Браузера нужно будет поменять некоторые значения (адрес - 10.152.152.10, порт в диапазоне от 9153 до 9159).
3) Немного поправить ярлык start-tor-browser.

Итак, приступим.
Для начала, нам нужно создать копию Тор Браузера.
Можно скопировать уже существующий Тор Браузер, а можно СКАЧАТЬ ЕГО ПО НОВОЙ в ДРУГУЮ (не ~/.tb) папку. О том, как скачать/поставить Тор Браузер вручную - читайте в статье раздел "Ставим Тор Браузер Вручную".
Если у вас уже есть Тор Браузер, то он лежит в папке ~/.tb/ (папка скрытая)
Про эту папку зацикливаться не буду, читайте у меня в статье "Ручная установка Тор Браузера", там эти моменты разжеваны получше.

Копируем ее (~/.tb/) содержимое (папка tor-browser) куда-нибудь. Я буду копировать просто в домашнюю дерикторию (~/).

При копировании можете воспользоваться файловым менеджером, я буду копировать из терминала:

***** -R ~/.tb/tor-browser ~/

Теперь у вас есть копия папки с Тор Браузером в домашней дериктории.

Следующим этапом мы запускаем Тор Браузер (смотрите чтобы не было запущено других копий).
А ЗАПУСКАЕТСЯ он с файла ~/tor-browser/Browser/start-tor-browser, потому что в файле start-tor-browser в папке tor-browser, который является ярлыком, прописано запускать Тор Браузер в папке ~/.tb/tor-browser/Browser. Я ярлыке нужно будет подредактировать пути, но это потом.

Скриншот:

Запустили, теперь идем в настройки проксей. Кликаем на иконку "бургер" справа сверху в браузере, там жмем <Preferences>, открываются настройки браузера. Жмем на раздел <Advanced>, там вкладка <Network>, в разделе "Connection" жмем <Settings> и откроются настройки проксей браузера.

Видим, что по-умолчанию там прописано SOCKS 127.0.0.1, port 9150.
Нам нужно поменять SOCKS Host и Port.
В качестве SOCKS Host задаем адрес Whonix-Gateway - 10.152.152.10, в качестве порта задаем один из портов, который находится в диапазоне от 9153 до 9159. Я, ради примера, указал 9153.

Рекомендую прочитать статью про Stream Isolation в оф. документации Whonix. А конкретно - этот раздел.

Скриншот:

Далее, мы должны немного поправить ярлык Тор Браузера (файл start-tor-browser, который лежит сразу в папке start-tor-browser).

ЕСЛИ ВЫ СКАЧИВАЛИ ТОР БРАУЗЕР, А НЕ КОПИРОВАЛИ, ДЕЛАТЬ ЭТОГО НЕ НУЖНО, ТАК КАК ЯРЛЫК У ВАС И ТАК РАБОТАЕТ НОРМАЛЬНО.

Открываем файл start-tor-browser.desktop с помощью текстового редактора и видим конструкцию:

[Desktop Entry]
Type=Application
Name=Tor Browser
GenericName=Web Browser
Comment=Tor Browser is +1 for privacy and -1 for mass surveillance
Categories=Network;WebBrowser;Security;
Exec=sh -c '"/home/user/.tb/tor-browser/Browser/start-tor-browser" --detach || ([ !  -x "/home/user/.tb/tor-browser/Browser/start-tor-browser" ] && "$(dirname "$*")"/Browser/start-tor-browser --detach)' dummy %k
X-TorBrowser-ExecShell=./Browser/start-tor-browser --detach
Icon=/home/user/.tb/tor-browser/Browser/browser/icons/mozicon128.png
StartupWMClass=Tor Browser

Там, некоторые пути мы просто исправляем на наш путь. Поскольку папка tor-browser у меня находится в папке ~/, а не в ~/.tb, то я просто удаляю папку ~/.tb из путей.

И выглядеть У МЕНЯ стало все таким образом:

Type=Application
Name=Tor Browser
GenericName=Web Browser
Comment=Tor Browser is +1 for privacy and -1 for mass surveillance
Categories=Network;WebBrowser;Security;
Exec=sh -c '"/home/user/tor-browser/Browser/start-tor-browser" --detach || ([ !  -x "/home/user/tor-browser/Browser/start-tor-browser" ] && "$(dirname "$*")"/Browser/start-tor-browser --detach)' dummy %k
X-TorBrowser-ExecShell=./Browser/start-tor-browser --detach
Icon=/home/user/tor-browser/Browser/browser/icons/mozicon128.png
StartupWMClass=Tor Browser

Скриншот:

Таким образом, можно запустить параллельно несколько Тор Браузеров (лучше, конечно, несколько Workstation), я показал на примере двух, но по-аналогии можно и три, только порт указывайте уже не 9153, а, например, 9154.

Скриншот:

На этом, собственно, все.

Некоторые пользователи могут почему-то не захотеть использовать стандартный Whonix-Workstation (Linux Debian x32-bit). Произойти это может по самым разным причинам: не нравится / не хочется разбираться / трудно разбираться и так далее. Именно для таких людей я и решил написать сию инструкцию. Рассматривать буду на примере виртуалок с Ubuntu и с Windows 7. В остальных ОС сами разбиретесь как делать, по-аналогии.

Хочется сказать, что ЛУЧШЕ ВСЕГО будет использовать СТРАНДАРТНЫЙ Whonix-Workstation. Так что лучше переступите через свою лень и работайте, разбирайтесь именно с ним. Ничего там трудного нет и все сделано максимально для дебиловлюдей.

Когда вы используете кастомную ОС в качестве Workstation, вы теряете некоторые ФИЧИ, например такие как Stream Isolation, который можно потом настроить на этой кастомной ОС самому.
Вот, в документации Хуникс есть специальная таблица сравнения.

Реализация подобной хрени расписана в оф. документации Whonix - Вот здесь

На примере Ubuntu 16.04.

sudo ifconfig

sudo nano /etc/network/interfaces

sudo gedit /etc/network/interfaces

#interfaces(5) file used by ifup(8) and ifdown(8)
auto lo
iface lo inet loopback

auto enp0s3
iface enp0s3 inet static
	address 10.152.152.13
	netmask 255.255.192.0
	gateway 10.152.152.10

#interfaces(5) file used by ifup(8) and ifdown(8)
auto lo
iface lo inet loopback

auto enp0s3
iface enp0s3 inet static
	address 10.152.152.13
	netmask 255.255.192.0
	gateway 10.152.152.10

sudo nano /etc/resolv.conf

sudo gedit /etc/resolv.conf

nameserver 10.152.152.10

sudo ifdown enp0s3

sudo ifup enp0s3

На примере Windows 7.

Electrum - один из самых популярных Bitcoin-кошельков. Если вы решили поставить себе биткоин кошелек, то новичкам я рекомендовал бы именно Электрум.

В данной короткой инструкции я опишу процесс установки Electrum на Whonix-Workstation.
Здесь не будет написано, как создавать кошельки, как ими пользоваться, настройки Electum и прочее. Все таки статья по Whonix. Предполагается, что работать вы с ним умеете. А если нет - читайте о работе с кошельком с других источниках (в клирнете полно статей, да и здесь есть).

Конечно можно воспользоваться командой sudo apt-get isntall electrum, но в репозиториях дебиан (Jessie) находится не самая свежая версия Електрум. Все будет работать и с версией по-олдовее, но если вдруг приспичило новую... Поэтому устанавливать будем по-другому.

Алгоритм прост:
1) Установаить зависимости
2) Установить Electrum по ссылке с оф. сайте

Для начала нам нужно зайти на оф. сайт Electrum, там в меню нажать на Download.

Инструкция по установке для Linux будет в самом верху. Инструкция, как видите, достаточно простая. Единственное, поскольку Electrum переодически обновляется, ссылка для установки будет отличаться (это та ссылка, которая идет в разделе Install Electrum, смотрите скрин).

Скриншот:

Устанавливаем зависимости:

sudo apt-get install python-qt4 python-pip

Ставим Electrum:

sudo pip2 install https://download.electrum.org/2.8.2/Electrum-2.8.2.tar.gz

Ссылка может меняться. Будьте уверены, что ставите последнюю версию.
После этого, кошелек Electrum появится у вас в меню. Можете создать ярлык и так далее.
Все.

Внимание! Это только для тех, кто использует Whonix-Gateway в консольном режиме.
При запуске Whonix-Gateway в консольном режиме каждый раз будет у вас будет запрашиваться логин и пароль от юзера, что может быть не очень удобно, если вы часто работаете на Гейтвее (перезапустить тор, выставить время, перезагрузить Гейтвей и т.д.), поэтому здесь я опишу, как настроить автологин при загрузке Whonix-Gateway.

Для этого необходимо произвести несколько несложных манипуляций.

Создаем директорию:

sudo mkdir /lib/systemd/system/[email protected]

Далее создаем и открываем файл в директории:

sudo nano /lib/systemd/system/[email protected]/autologin.conf

Файл откроется в редакторе nano.
Файл пустой, нам нужно написать в нем следующее:

[Service]
ExecStart=
ExecStart=-/sbin/agetty --autologin user --noclear %I $TERM

Всего три строки. Сохраняем файл нажатием Ctrl+O.

Дальше выполняем sudo reboot и смотрим, автологинится ли. Если да, значит все ок. Если нет - значит что-то сделали нет так.