Установка и настройка Whonix
Вероятно, разочарую вас, поскольку за таким многообещающим названием последуют лишь вопросы, которые возникли в процессе знакомства c этим продуктом.
Самому хотелось бы понять, как его использовать, поскольку все русские публикации о Whonix подобны друг другу, как близнецы-братья.
Вот типичный перепост:
И тут сразу возникает первый вопрос:
1. Cомнение во фразе "...а другая – полностью изолированной рабочей станцией".
Если бы эта "другая рабочая станция" была бы полностью изолированной, то она вообще бы ни с кем не смогла связаться и никуда не смогла выйти.
Вероятно, авторы имели в ввиду что-то другое, но переводчики исказили смысл фразы.
Какой же он на самом деле?
2. Можно было бы предположить, что Whonix – это только концепция, по которой пользователь сам бы смог собрать свой "Whonix".
Действительно, казалось бы, достаточно поднять на хосте VirtualBox, на котором в качестве рабочей станции проинсталлировать свою любимую десктопную ОС (которая освобождена от прикладных излишеств и в которой точно нет проблем с кирилизацией), а в качестве шлюза – другую мвою любимую серверную ОС, на которой поднять Tor или TBB.
Но как следует из описания, это вовсе не так – вместо этого вам предлагается скачать два особых настроенных образа – почему?
Что такого в них особого, что рекомендуется нужно использовать только их?
Почему нет рекомендаций или хотя бы напустствий, как самому сделать подобную сборку из своих, более привычных дистрибутивов?
3. И наконец, многочисленнные перепосты кем-то вскользь брошенной лаконичной фразы:
Ну и где этот вариант, что он собой представляет, где документация по его установке и настройке?
(только пожалуйста, не предлагайте в качестве замены умопомрачительную разработку от уважаемого unknown – по своей сложности она право, не для средних умов... в смысле не для широких слоев населения).
Пока все вопросы, ответы на которые хотелось бы получить прежде, чем выбрать тот или иной курс на освоение Whonix. К сожалению, в отличие от TBB, тема Whonix как-то вяло обсуждается сообществом и на этом форуме. Предлагаю объединить наши усилия по создании практичной инструкции по сборке и настройке Whonix.
Классика жанра: время синхронизировать, часовой пояс — UTC. Дефолт для всех нормальных систем.
Вот это точно зря. Лучше допустить вероятность, что профиль будет поломан, и противник узнает, что серфит русскоязычный, чем подчистую сливать всё, что серфится на русском.
Короче, определитесь с рисками, которые вы готовы терпеть. Если вы уже в виртуалке, то уже не принципиально, XFce там, гном или fluxbox, хотя гном и прочие наглые «интегрированные графические среды» любят лазить в сеть и сливать туда много лишнего. В данном случае они будут вынуждены лезть через Tor, но этот факт всё равно не должен вас радовать — зачем сливать что-то из профиля даже через Tor? Всякая автоматическая отправка отчётов об ошибках, статистика и пр. сюда относятся.
Похоже,что поиск не принципиален. Хотя есть для этого нужные поисковики(DuckDuckGo и Startpage(SSL). Умолчатильные настройки конечно формальность. Профилирование проявит себя в браузере. По мне,оставлять всё как есть. Ну понятное дело, что тонкие настройки нужны.
Вообщем, я поэтому так и до сих пор не отдал предпочнения какой либо одной. Ну так,что было железно.
-ressa. Привет. Я как сельский тракторист было дело уже хотел с наскоку запрячь современный танк(Qubes). Ан нет.:-)
Увлечение антикваром не позволило мне это сделать. Требование к железу высокие. Есть у меня часть современного железа, осталость часть доукомлектовать. Ну, продвинутая система будет.
Вот думаю теперь точно поставить именно её туда. И возможно даже станет избранной. Так, для общей цели и услады. :-)
Ну, а для анонимности (мнимой) я всё-таки отдал бы предпочтение
лёгкой,мобильной системы. Где минимум кода. Ну это я сейчас сказал наверное слишком просто. Не знаю, доберусь может тоже до OpenBSD.
Никак не дойду до неё. Сложно сказатm однозначно, но интуиция подсказывает, что возможно она. Лёгкий опыт был, давно.
Я решил,что лучше сам взлянешь на это,это по-любаша будет лучше,там уже всё ясно будет,чем мой короткий коммент.
Вот они: http://www.opennet.ru/opennews/art.shtml?num=40687
https://wiki.qubes-os.org/wiki/UserDoc/TorVM
http://theinvisiblethings.blog.....02/qubes-beta-3.html
http://xakep.ru/53465/
И её интервью : http://www.thg.ru/software/joa.....terview/onepage.html
Также читал её твит.Там она тоже,ничего себе так дивчина. :-)
И немного о Red Hat
http://www.opennet.ru/opennews/art.shtml?num=41250
сообщила об обнаружении в пакетном менеджере RPM опасных уязвимостей.
Касательно и о CentOS.
Для защиты думаю однозначно будет Qubes. В проекте лично для меня.
Для особых же задач что-то полегче. Пока в поиске. .
Всего тебе доброго. Всем :-)
комментариев: 1079 документов: 58 редакций: 59
Про основную систему ничего не скажу. У меня простой, пошифрованный с ног до головы Mint, внутри уже да, виртуалки того же Whoonix, ну и недавно Tails скачал посмотреть, но так и не добрался до него пока.
В ней хреновое дисковое шифрование (Тео считает, что от локального атакующего скрываться бессмысленно), отсутствует подпись пакетов/портов (в своё время было нетрадиционно для UNIX; обещают добавить), да и при взломах OpenBSD Тео отказался раскрывать все детали компрометации. Как-то разработчикам OpenBSD сказали «окей, мы хотим включить ваш CARP к себе, напишите только спеки к нему». OpenBSD ответило: спеки на CARP есть сам код CARP [обсуждалось в рассылке]:
А ещё они подзабили на Linux-эмуляцию, поэтому Linux-специфичный софт стало тяжелее запустить (хотя и раньше было труднее, чем в других BSD).
Из Whonix FAQ: Why aren't you using OpenBSD, it's the most secure OS ever!!!1!
BSD-придурки вообще не понимают, зачем это надо, и как это работает.
P.S. Весь тред.
Похоже, не осознают, что в анонимности не бывает ничего лишнего.
Продолжу поиски. Потом отпишусь. :-)
комментариев: 1079 документов: 58 редакций: 59
А поиск и эксперементы – это удовольствия ради. Я бы сам с радостью посмотрел всякие дистры, и тот же BSD, но вот времени нет. Вообще, жаль нет манов, я бы лучше по манам сам попробовал дистр собрать, заодно и Gentoo освоил.
Где гарантия, что собранная своими руками будет безопаснее готовой?
комментариев: 1079 документов: 58 редакций: 59
Мне кажется, что как раз самому и лучше и безопаснее. Вопрос в знаниях и будет ли работать. Я сам не собирал, использовал чужие, но мне кажется, что это как раз для дилетантского уровня. Были бы маны по созданию криптодистов на базе Hardened Gentoo – я бы сразу попробовал, убив при этом двух зайцев – и с гентой дело бы поимел и криптодистр свой собрал бы. Но у меня лично знаний на это нет.
Это что за зверь такой?
комментариев: 1079 документов: 58 редакций: 59
По поводу Whonix продолжу смотреть также. Вот автор может читал, не знаю,"в Whonix протестированы, документированы и, главное, работают все схемы комбинирования VPN/SSH/Proxy с Tor".
И вот ему ссылка,хотя впрочен думаю всем давно известная: https://www.whonix.org/wiki/Fe.....N_.2F_Tunnel_support. Так,для справки ради.
Прекратить поиски мне мешает до конца не утверждённая мысль, что правильное комбинирование и совершенная настройка VPN/SSH/Proxy с Tor достаточно, и firewall. Да, понятно, всё это жиждется на общем фунтаменте (система) .Впрочем, думаю, как бы не была совершенная машина, рано или поздно она будет скомпрометирована.
Не думаю, что она стоит на постояннку. Её сносят, и важные сессии бывают короткими. Думаю, что решение искать нужно там.
комментариев: 1079 документов: 58 редакций: 59
Если честно, то мне все равно не очень понятно что вы имеете ввиду. Использование Debian с полнодисковым шифрованием? Так это и так возможно из коробки (debian.org). Скачайте netinst.iso и соберите сами что вам надо.
Здесь torproject.org так же можно найти описание на эту тему. Думаю и на сайте Tails немало есть информации (это я об уникальности инфы на сайте whonix).
Так она базируется на Xen, на кой там еще что то?
Почитайте:
https://wiki.qubes-os.org/
https://wiki.qubes-os.org/wiki/UserFaq
Почитайте wiki о паравиртуализации и какие гипервизоры обладают таким функционалом.