[Статья] Организация работы на ОС Whonix

И как теперь не бояться, что Патрика не подвергли терморектальному воздействию и со следующим обновлением сдеанонят всех педо и нас прицепом.

xxbx, Если сайт лег это еще ниочем не говорит. Мало ли что там происходит.

Да, задал ты рр мне лично работки на недельку Только и занимался что вкуривал, вкуривал и переваривал. Огромное тебе спасибо за подробнейший гайд!!!

Вот парочку фидбеков от пользователя - если посчитаешь нужными, мот че пригодиться из инфы.  Итак, что я нарыл:

1) Пользователи Windows которые ставят Virtual Box, запускают связку виртуалок Whonix, и думают что жизнь удалась... Это не так. Даже если вы используете ТруеКрипт - это все равно не так )))

начнем с того что если вы держите образы, с которого ставите виртуалку на защищенном диске, и считаете что теперь вы круто защищены - облом. Весь ваш образ, никакого отношения к создаваемым виртуальным машинам не имеет, и Виртуал Бокс вашу деятельсность в сети ТОР на этих машинах, спокойно кладет в свою системную папку по умолчанию, с которой если скачать один файл, и развернуть его на другой машине, то...

... ВСЯ ИСТОРИЯ ПЕРЕПИСКИ, ВСЕ КЛЮЧИ, ВСЕ КОШЕЛЬКИ - в общем вся ваша машина и история действий, консольных команд, и пр. - будут в чужих руках. Я реально офигел, когда немного разобравшись, и смонтировав уже под Линухой виндовые диски, покопался в них инструментами, и ... так просто вскрыл столько всего, из накопленного Виндой, что просто жесть.

Тоесть очень важный пункт, менять дефолтные пароли, поставить пароль на вход в систему, развернуть все на зашифрованном диске - это прям обязательно. Иначе все будет на блюдечке с голубой коемочкой. Зная какие расширения нужно искать у файлов виртуальных машин, то скорее всего за ними очень просто устроить охоту. И глядишь, уже все пароли, ключи, и пр. конфиденциальная информация может быть легко скомпроментирована - не хакерами, а ББ и присовокуплена в его Большую Папочку - такой вот БББП

Поэтому для себя я решил, чтобы такого небыло, нужно ОБЯЗАТЕЛЬНО и всегда, менять дефолтные пароли, ставить в настройках - шифровать данные на локалке, чистить логи и пр. Пароль разумеется вносить достаточно длинный - чтоб символов было поболее. И менять раз в полгода. Это первое что как пользователь я уяснил.

Второй важный момент - разобраться как настроить так чтобы информация принудительно хранилась на зашифрованных или съемных носителях, со всеми путями и пр. Но чем делать такие пляски на Винде, для важных дел, надежнее поставить на машину вторую систему - Линукс. И потихоньку освоить его. Там минимально требуемый уровень безопасности реализовать проще. А так возникает ложное ощущение безопасности - поставил по гайду Вхоникс с виртуалкой, настроил ВПН и ТОР, и типа уже в безопасности

Мне вот интересно у тебя в гайде найти инфу - как настроить Вхоникс так чтоб при запуске виртуалки нужно было обязательно вводить имя пользователя и пароль для входа в систему, где что менять в настройках чтоб данные внутри виртуалки шифровались, и не подобрав пароля - выскубать инфу с образа было невозможно. Как просто сменить все пароли по умолчанию, как поменять имена юзеров, добавить новых и пр. - имхо, это важный пункт.

Спасибо что открыл для меня Линукс! Он крут! Его разделение прав и привилегий, и пр. - как я без этого жил.... НО! после недели эйфории, понял что ЛИНУКС не панацея Чем больше будет установленно разных ненужных облегчающих жизнь программ, тем система становится менее и менее стабильна, и злоумышленник зная уязвимые места самых популярных программ, может попробовать наделать много беды. Поэтому, было бы неплохо озвучить важный момент для новичков - НИЧЕГО ЛИШНЕГО НЕ СТАВИТЬ! Не только ИЗ ЧУЖИХ РЕПОЗИТОРИЕВ (Даже если это крутая и афигенная программа, которая облегчает жизнь), но и по возможности, меньше ставить даже из РОДНЫХ РЕПОЗИТОРИЕВ - универсальность Линухи в том, что одно и тоже, можно получать разными путями. И чем меньше посредников в этом, тем меньше шанс "влететь".

В том что ставится по умолчанию в проверенной версии линухи, сходу влететь сложно. Например у меня получилось поставить более старую версию Линукса (с длительной поддержкой), и поэксперементировать с ней так что она стала нестабильной (особенно после того как навесил несколько рабочих столов - Гном, Кеды и пр.  А уже когда поставил свежую - полугодовалую версию (с длительной поддержкой), то убедился в том что в Линуксе - новое, это НЕ ЛУЧШЕ )) В той же ubuntu 16, сразу пошли траблы с Нетворк Манагер, с драйверами, и пр., а на 14 - все работало стабильно.

Тоесть вера в Линукс с GUI приложениями у меня сильно подкосилась )) и отсутствие оной, сподвигло на плотное изучение возможностей Линукса как личного аналога для безопасной ОС. Особенно с такими гайдами. После 20 переустановок (как клиента так и виртуалок), после вкуривания мануалов и пр., я понял что панацеи нет. От кривых рук (как пользователя так и програмистов) ее вообще не существует. Единственная доступная возможность, увеличить панацею - ставить ПРОВЕРЕННУЮ и стабильную ОС из коробки, и чуть-чуть поставить облегчающего ПО (самую малость). И учить консоль, архитектуру, права и привилегии, и пр. Всего две недели работы с консолью, и уже не привычно возвращаться в Винду! Но какое чувство добавляет то, что теперь пусть и номинальный контроль, но он есть.

Открыл еще важный момент, что установка тех же десктопов на одной машине, крайне не рекомендуется. Они (каждый из них) ставит кучу дефолтного ПО, и у этого ПО если рассматривать отдельно по входящим в него программам, есть свои критические места и уязвимости, которые могут привести к тому что злоумышленник собрав информацию, может получить через них и доступ к машине, с теми правами, которые есть у рухнувшей программы (а рушатся они как я понял, тоже на ура).

К примеру тот же Виртуал Боксик, правильно чтоб настроить без использования РУТА, нужно читать мануал - никакие запуски подобной програмки из под рута, чтобы получить к удобным пунктам в его GUI для экспортов и пр., не рекомендуются Этот момент в мануале бы освятить.

Еще момент по статье - я не спец, утверждать не буду, но вроде есть существенная разница между apt-get upgrade и apt-get dist-upgrade. Рекомендуют использовать второй вариант, так как он ведет к более качественному обновлению пакетов и связей зависимостей (ссылку на авторитетный ресурс где это рассматривается подробно, могу поискать).

Вроде из фидбека все. Еще раз - спасибо тебе за такой подробный мануал !

Timoha, apt-get upgrade обновляет софт, ap-get dist-upgrade обновляет версию системы. Если вы установили LTS(Long Term Support) и вам это нравиться то можно повременить с dist-upgrad'ом как минимум до выхода следующей LTS.

Центр, Вы не правы. dist-upgrade не обновляет саму систему до более новой версии (типа с 16.04 до 16.10).

dist-upgrade работает как upgrade, просто немного по другому. Там немного другой механизм обновления пакетов, плюс разрешаются всякие конфликты и так далее.

Обловляет версию дистрибутива другая команда: do-release-upgrade . По-моему, в дебиан этой команды нет, есть только в убунту.

Timoha, Хуникс прежде всего обеспечивает анонимность и безопасность при выходе в сеть. Вас почти невозможн будет взломать или деанонимизировать с той стороны экрана. И справляется он со своей задачей хорошо. А вот что делать когда к вам уже пришли - это совсем дрегой вопрос. Шифрование - не шифрование и так далее, это к самой системе Хуникс не относится. Вы можете всю свою работу хранить в хуниксе, а .vmdk файл поместить в кирптоконтейнер. Тогда, для того чтобы запустить обе виртуалки, вам сначала нужно будет расшифровать контейнер. И если к вам кто-то придет, он не сможет узнать, что у вас там внутри Хуникса лежит.

Линукс вполне себе может использоваться с ГУИ, просто нужно правильно все поставить и настроить. Есть такие дистрибутивы, где это заранее уже сделано довольно нормально, и акцен делается как раз на новичков или виндоюзеров. Например минт или убунту.

По поводу репозиториев и не ставить ничего лишнего. Если сомтреть с точки зрения безопасности, есть два типа приложений, это которые смотрят в сеть и которые не смотрят. Так вот те, что не смотрят в сеть, можно ставить без проблем. А те, что смотрят (вебсервер, почта, ссх, фтп, дб и тд), не обязательно их должны взломать (тем более когда речь идет о Хуникс, там все достаточно защищено). Но лучше их не ставить, это верно.

pp, сделал как вы рекомендовали - файлы виртуальных машин залил в криптоконтенер, перд работой нужно расшифровать диск, после чего запускать Виртуальную машину. Но столкнулся с такой ситуацией - после установки программы, она встала с правами рута - при запуске в ней доступны ненужные пункты в меню, которых при запуске от имени пользователя быть не должно. Как правильно урезать ее полномочия из консоли ? или перустановить нужно?

и еще вопрос, немного не по виртуалке - почему в Убунте, сервера обновления по умолчанию стоят РОССИЙСКАЯ ФЕДЕРАЦИЯ - это как то влияет на безопасность? Нужно менять сервера обновления?

Непонятно. Вы ставили из репозиторием программу или запускали инсталлер от суперпользователя? Если вы запускаете программу от имени обычного пользователя и ей потребуются права root'a, то она об этом прямо скажет. Если вы хотите понизить права на некоторые вайлы, то смените владельса см. chown, и сами права chmod.

На сколько я знаю влияет только на скорость. ISP будет видеть, что вы пользователь ubuntu. Перед установкой программы проверяется цифровая подпись. Если кто-то попытается подсунуть свое говно, то apt-get вам сообщит о несоответствии подписей. Тут больше вопрос в том, а доверяете ли вы разработчикам Ubuntu.
Как уже  было замечено на форуме, это не рекомендуется если у вас, например, qubes. Просто, чтобы лишний раз не светить что вы им пользуетесь.
Можно сменить прописку репозиториев на другую страну. Если есть желание. Замените ru на код другой страны в конфиге.

Извиняюсь за ламерские вопросы, но в гугле по хуниксу очень мало инфы (даже видел ссылку на копию этой статьи на первой странице поиска  ).

1. Как устанавливать скачанные пакеты? Скачал Оперу для linux, но установочный файл открывается как папка с файлами. В минте такого не было.

2. Как подключить ВМ с другой осью к Whonix-Gateaway? Подключил вм с вин7, всё настроил в виртуалбоксе, в итоге подключение есть, а доступа в инет нету.

3. Можно ли настроить именно Гетэвей так, чтобы он подключался к тору через openvpn? Или для связки VPN+Tor OpenVPN можно запустить только с хоста?

Teerarest, с такими хотелками идти и учить маны по qubes os.

sektor, мне бы хоть хуникс для начала освоить

P.S. С Оперой разобрался, всё встало. Но по другим двум пунктам вопрос остаётся.

Использую whonix на virtualbox.
Если в virtualbox устанвить плагин guest addition, то на сколько это снизит уровень анонимности? Пишут что лучше так не делать, но почему не могу найти объяснения. Просто с guest addition работать удобней, но не хотелось бы, что бы в ущерб безопасности.

ubehebe, Ответ:
1. VirtualBox имеет в себе проприетарный код, поэтому разработчики whonix не рекомендуют использовать его. Лучше KVM или Qubes в качестве основной системы.
2. Установлена ВМ, у нее есть какие-то конфиги железа(виртуального) и софта, сответственно они могу быть скомпроментированны. На сколько эти параметры уникальны зависит от вас. Разработчики тора, например, крайне не рекомендуют менять его конфиги.
3. Если машина на которой установлен virtualbox не вызывает абсолютного доверия,  то все условно бесполезно.
4. Если хотите анонимности, то запустите Tails через кастомно настроенный шлюз(впн).
5. Анонимность вам дает такое-же преимущество, как черная балаклава на голове у мужика идущего по улице среди людей. Да, лица не видно. Да, неясно чем он занимается. Но вы все-таки очень сильно выделяетесь из толпы, по этим признакам вас могут и пытаться поймать.

Как я понимаю guest addition это аналог disposableVM в qubes? Если это так и вы не затираете данные на винте после удаления ВМ, то ваши данные можно частично или полностью востановить.

Не рекомендуют по скольку не хотят брать на себя ответственность, если конфиги будет править криворукий. Если конфиги правит человек, которые понимает зачем ему это и как нужно все сделать, тогда нормально. Поскольку конфиг. файл вообще существует, это говорит о том, что разработчики Тор дают возможность его редактировать.

Лучше, да. Но не пугайте людей, с ВБ не все так плохо.

Чем хуже хуникс?

Это как посмотреть. Впн дает возможность скрыть Тор. А еще можно обфусцировать траф.

А вот здесь можно подробнее? Дай линк плиз..

Редактировался pp (2017-02-03 13 ч.)

pp, вылезает на второй или третьей странице гуголя в зависимости от запроса

Teerarest, А, ясно. Я то думал просто кто-то скопировал стать и выложил куда-то.

сорян за глупый вопрос, но, как на минт его ставить?

Глупый вопрос: я поставил основным языком - русский. Консоль теперь все выдает на русском. Но не могу понять как менять язык ввода на клавиатуре
Комбинация клавиш есть или вручную где-то тыкнуть надо? Просит подтвердить действие в консоли [Д/н] а я не могу русские буквы напечатать.

Cobra1, пуск > search: keyboard > layouts, там добавляешь русский язык и назначаешь комбинацию для смены языка

Cobra1, и еще  необязательно вводить русские буквы. Можно и "Y/n", тоже сработает.

Здравствуйте, благодарю автора за эту тему, очень полезная и понятная  пошаговая инфа. Всё сделал , все получилось вроде.... не могу лишь телеграмм приложение поставить на вхоникса , реально ли это ? через терминал при установке пишит такую ошибку

user@host:~/Downloads$ sudo apt-get install telegram-desktop
Reading package lists... Done
Building dependency tree       
Reading state information... Done
E: Unable to locate package telegram-desktop