阅前注意

我是 Dreamer ，这次我要说的是墙内高危人群为什么要使用 Qubes-os 操作系统来保护自己的安全。

在阅读之前，你最好先去我的 github 仓库 https://github.com/Dreamer2048a/pgp-article 获取本文的签名，以验证文章的完整性，确定本文是我写的，从本文开始，所有的文章都会有我的 PGP 密钥签名。

请注意，我的 PGP 密钥是我唯一的身份验证手段，因为 github 并不是一个去中心化的网站，账户所有权有可能被盗。 你可以在这里获取我的公钥 https://raw.githubusercontent.com/Dreamer2048a/pgp-article/main/public_key ，这是我的公钥指纹，导入后请确保指纹一致，以防网站恶意篡改我的指纹，你可以去其他平台 你可以去其他平台，比如品葱，对比我被转载的帖子中的指纹。

公钥指纹：057F 2D5E BADE 1A65 FFEF 1B09 58CA B381 5F2D 4A64

大致介绍

Qubes os 拥有完善的图形界面，很好理解的操作逻辑，相比其他操作系统，如 Windows、Mac os 等一系列非开源系统，具有无可比拟的安全性，这些系统对于高墙内的高危人群来说是极其危险的，Windows在中国有分公司，苹果在中国已经扎根，大反贼们不要妄想买一部苹果就会降低他们的风险。这些公司都与中国政府关系密切，作为墙内的高危人群，你不怕吗？

在 Linux 发行版中，公认安全性不错的是 Tails、whonix 和 qubes os，后者结合了 whonix 和 tails 的大部分优点。 Qubes os 本质上是创建若干虚拟机来运行单个软件，每个虚拟机都被完全与其他虚拟机隔离。

系统本身内置了许多虚拟机，像专门连接网络的虚拟机，专门运行软件的虚拟机，专门用作连接tor的虚拟机等，这些虚拟机互相隔离，其中一个被攻破了也不用担心其它的虚拟机中的数据受到影响。

你可以自己建立特别的虚拟机，像是专门用来跑 vpn 的虚拟机，其它装着软件的虚拟机如果需要翻墙，直接在管理软件中点几下就会让这个应用软件的虚拟机的网络通过这个 vpn 虚拟机。

这只是粗略的分法。 更多玩法请看此图 https://www.qubes-os.org/attachment/site/qubes-partition-data-flows.jpg

反贼，工作两分离

qubes os 上的虚拟机互相连接可以制作很多玩法，你可以把专门做反贼内容，专门登入反贼网站的浏览器，数据存在一个虚拟机中，平日在现实的合法工作的各自数据存在另一个虚拟机中，（访问公司网站，写合法的文章，运行微信，qq等监控性质，风险的软件），点点手指，再把前者的反贼虚拟机连接到 vpn 虚拟机中，让反贼虚拟机的所有网络通过 vpn。

你还能设置 vpn 虚拟机的网络经过 whonix 网关，也就是 tor，这样反贼虚拟机的网络先经过 vpn 翻墙出去，再连接到 Tor 网络中，跳转三个服务器最后到目标网站，而工作的虚拟机没有任何影响，正常直连国内的网络

更多玩法看此文 https://www.qubes-os.org/doc/how-to-organize-your-qubes/

快速实现编程随想的双重代理

随想君说过一个双重代理的策略，这对于非极客来说很难，可能还会出现误操作，很不友好，而对于 qubes os 却非常简单，只需要动动鼠标

work-qube > sys-vpn2 > sys-whonix > sys-vpn1 > sys-net

这是一个简单的在 qubes os 上的双重代理的策略，work qube 是你的做反贼事情的虚拟机， sys-vpn2 是后置代理， sys-whonix 是 tor ，sys-vpn1 是前置代理， sys-net 是你的wifi等电脑直连的。

反贼虚拟机的网络先经过 sys-net 也就是你的 wifi 到达 sys-vpn1 配置的 VPN 服务，再通过 sys-whonix 配置的 tor ，跳转三个服务器，再经过 sys-vpn2 中配置的 VPN 服务，最后访问到你要访问的网站。

我还没有写好 Qubes os 双重代理的详细教程，理论上讲会建立一个帮助翻墙的 VPN 虚拟机就会编程随想君所谓的双重代理了。

高匿名性，多用户快捷访问某些聊天软件

举例我需要安全的访问一个聊天软件，我在这个聊天软件上有三个身份，不能被这个聊天软件的经营者发现我的这三个身份其实是我一个人控制的，像使用同一个 VPN 访问三个聊天软件可能就要被识破。

我可以复制这个聊天软件所安装的虚拟机，复制三个甚至更多，给每个聊天软件的虚拟机设置不同的 vpn 虚拟机，再给其中几个虚拟机设置 tor ，这样聊天软件的所有者就很难知道这几个身份的所有者都是同个人，大大提高安全性。

我在 2047 论坛写过一篇类似的教程，你可以看看

https://web.archive.org/web/20231228153526/https://2047.one/t/21363

一次性虚拟机，办完事自动删除整个虚拟机的所有数据

whonix-workstation-dvm 这个模板的用处就是像小标题所说，每打开其中的一个 tor 浏览器，它便会自动创建一个全新的一次性虚拟机去打开 tor 浏览器，你可以再点一下，还会生成一个全新的，关掉其中一个虚拟机的 tor 浏览器，对应的一次性虚拟机就会被彻底删除，不留任何痕迹。

这防止的是有网站通过 tor 浏览器的漏洞暗暗塞病毒潜入你的电脑，只要把访问过网站的虚拟机删除就大概率可以避免这个问题了，这样 tor 浏览器的漏洞出现的事故就不会影响到了除此虚拟机外其它的虚拟机中的软件了。

全盘加密

Qubes os 在首次开机设置时会要求你设置一个密码，这个密码是用于解密整个 Qubes os 的数据的，没有这个密码，整个 Qubes os 的数据就是一堆被加密的乱码，降低了电脑被强制打开，或者被破解的可能性。

总结

1 开源，免费，代码完全公开

2 具有可信度，有团队支持（Whonix 项目 qubes 项目）

3 安全性强

4 操作简便，图形化界面多，可变化性多，不复杂

5 文档较为完善

如何安装，学习 Qubes os

请点击官网，一步一步的根据下载教程安装，如果此文章反响不错我会出相关教程。

比方说如何安装配置场景写作软件，帮助身在高网络审查地区的记者使用 Qubes os 安全上网。

但如果你会去谷歌，去看文档，花些时间，这些其实都不是什么事，也不需要我那如同我那不起眼的级教程了，针对高危人士得这样去下功夫。

这是官网 https://www.qubes-os.org

其它

本文首先发布在 2047.one 网站，遵守 CC BY-NC-SA 4.0 署名-非商业性使用- 4.0

转载时请务必署名 Dreamer 057F 2D5E BADE 1A65 FFEF 1B09 58CA B381 5F2D 4A64，也可以额外署名我在2047的主页。

我推荐你转载此教程到其它论坛（红迪品葱什么的，都行），但请把我PGP公钥的指纹带上，反响不错我再写几个 qubes os 教程，首发在2047。

你可以通过向 Dreamer2047@protnmail.com 发送电子邮件，和我讨论相关问题，请使用我的公钥加密文本，我不会通过2047等网站的回复功能回答问题，我生活在瑞典附近，在每天的苏黎世时间 下午2：00 我会回复邮件

往期回顾

• 安全快速访问 matrix 教程以及进阶操作 Qubes-os 系列教程 https://web.archive.org/web/20231228153526/https://2047.one/t/21363

我是 Dreamer ，这次教大家如何利用 Qubes os 这个系统快速安全的建立多个身份，多个虚拟机访问 matrix 进行匿名聊天。

继随想君的 tails os 系列，我更加推荐 Qubes os,善用这个系统，会大大提升你的匿名程度。（大名鼎鼎的斯诺登先生曾经说自己也用 qubes os https://twitter.com/Snowden/status/781493632293605376 ）

一些展示，请看此图 https://www.qubes-os.org/attachment/site/qubes-partition-data-flows.jpg qubes os的优势很明显，每个qube(在qubes os中大概是虚拟机的意思，下文都用这个代指) 都是完全隔离的，数据在没经过你的同意下是无法互相传输的。

详细参考 Qubes os 官网介绍 https://www.qubes-os.org/intro/

目前互联网的中文世界中并没有几篇对此系统的详细教学，只有整个系统的粗略介绍，希望你可以多多转载此教程，促进更多有识之士填补这块漏洞，让更多人掌握更强的匿名上网技术。

如果你有什么看法，对这个教程的质疑，请在评论区指出修改。

优势：

1 不需要你们所说的通过 tor浏览器访问 element 官网再登陆进行聊天，这过于繁琐，每次切换账号，网页加载就需要花费非常久的时间。

2 安全性更高，每个安装着 element 的 qube (qubes os中对虚拟机的称呼)都会强制其中的所有流量经过 sys-whonix ，也就是经过了tor，而每个 qube 的最终经过Tor显示的ip也会不一样。

3 快捷性，便捷性，秒多开账户，快速备份整个qube以备份整个账户。

4 待补充

劣势：

1 需安装 Qubes os

2 待补充

环境

你的设备上必须安装着 qubes os 这个系统，这是官网 https://www.qubes-os.org/ 请根据官网上的操作安装这个系统，这个系统能否成功安装主要取决于你的设备是否达到了官方所说的一定的要求，（这个要求在安装时会自动检测是否合格，不合格也不会给你装）。

如果你连一点洋文都看不懂，或者不理解安装一个系统，那么去油管上搜 qube os 这关键词寻找教程，安装教程极多，善用搜索引擎解决问题，这都安装不了 qubes os，请用 Tails os 去吧。

我的版本是 Qube os 4.2

开始

我就不用命令行指令教学了，对于普通人可视化的操作界面更加方便理解，先用纯文字教学，上手后教程使用类似 apps > vault 这类简易表达方式表示相关简单操作。

给 TemplateVM 安装 element

方法一

点击左上角的LOGO，有个齿轮，点进去，有个 Qubes tools 这个文字右边有个软件叫 qube manager，点击这个。

右键 debian-12-xfce 我们得先从这个模板上安装 element客户端，这样才可以在它身上创作出的appvm有 element可以用。

再点击setting，点击Net qube右边这个长框，切换到 sys-firewall ,系统会弹出警告，你确定就完事了，这意味着这个模板的安全度下降了，因为一般来说模板不会让它允许联网的，现在你联网可能会让病毒从互联网中进入这个模板，我这里牺牲了一点安全性获得了一些便利，一套指令就能搞定。

还是老样子点开左上角，有个 Template ，点击，找到 debian-12-xfce ,鼠标移上去，右边有个对应的 xfce terminal，点开，输入下面这几串代码。

如果你仔细看过系统文档你就会知道如何跨qube复制黏贴文本，请细细看系统的相关文档，这可以加快你的效率。

sudo apt install wget

sudo apt install -y wget apt-transport-https
‍
sudo wget -O /usr/share/keyrings/element-io-archive-keyring.gpg https://packages.element.io/debian/element-io-archive-keyring.gpg
‍
echo "deb [signed-by=/usr/share/keyrings/element-io-archive-keyring.gpg] https://packages.element.io/debian/ default main" | sudo tee /etc/apt/sources.list.d/element-io.list

报错了直接去搜索引擎解决，一般不会出错误，这样你就完成了这一步骤，叉叉掉这个窗口就行。

当你理解并学会操作这方面后就不要在使用这个连过网络的模板了，其中可能包含着病毒。

资深这方面的也可以选择直接去下 element 的源代码自己本地编译一下，在编译好后文件右键传输到 debian-12-xfce 这个qube中，再进行安装，这比给模板联网安装安全性更高。

方法二（推荐）

不在原 debian-12-xfce 上安装 element，我们需要再克隆一个新的模板

qube manager > 右键 debian-12-xfce > clone qube > ok

给克隆出的模板赋予联网权限

qube manager > debian-12-xfce-clone-1 > settings > net qube 设置为 sys-firewall

打开终端

debian-12-xfce-clone-1 > xfce terminal

输入方法一中的指令，安装 element，在接下来的操作中的 qube

建立 element 虚拟机(AppVM)

还是在 qube manager 上操作，点左上角的 new qube,这是创建新qube的，然后你可以自己写个名字，我们就暂且命名为 element-1,type 这里选定为 Appvm ，因为最近男朋友整我整太累了，这里不细讲这type里的几个选项的含义了，直接去看搜qube os的文档就可以理解，以后有需要我再细讲。

Template 选 debian-12-xfce （你安装 element 的模板）

Networking 选择 sys-whonix ，这是至关重要的，这强制 element-1 中所有网络必须通过 sys-whoix 中的 tor,哪怕 sys-whonix 不工作，或者没有连接上tor时，也会强制这样做（都不工作网络就连不铜）

点击OK。

这个时候会出现一个 element-2 的qube在qube manager 的列表里，你只需要左键选中此qube，点击窗口上方的App shortcuts,在左边这个意思为可用的软件列表里找到 element ，选中，再点 > ，让它到右边。

点击ok,此步骤完成。

连接tor

先点击右上角红色的网络的图标，连接互联网（软路由，热点共享翻墙都可以）

点击左上角 > service > sys-whonix > anon connection wizard > next 戳到底

如果配置网桥，element 的加载速度反而速度更慢。

也可参考 https://www.whonix.org/wiki/Qubes/Tor_Browser

创建账户

一行行来

还是左上角 > apps > element-1 > element > 到来熟悉的界面，点创建账户

apps > whonix-workstation-17-dvm > tor 浏览器 在新出现的窗口中点击 tor check 验证是否连接到了Tor,确认连接到了，搜个临时邮箱服务，注册 matrix 账户，同时在 element-1 这个窗口登陆此新注册的账户。

这是创建了一个一次性的qube，来访问互联网，注册登陆后就可以直接叉叉掉这个窗口了，此时这个qube就会消失，保证你的数据安全。

进入账户后把注册的邮箱地址给删除，防止邮箱服务商登陆你的账户。

截止这里，你的访问 matrix 的策略已经是

element-1 > tor > sys-net

也可以这样理解

前置代理 > TOR > MATRIX 服务器

这样看起来只有前置代理知晓你在访问 Tor ，但它也不知道你通过 Tor 访问了什么网站，关于这一点的依据可以参考一些特殊的翻墙服务提供商对某些网站的屏蔽，爱国机场屏蔽的网站你直接去访问访问不了，但你如果通过 Tor 就可以访问了。

反着来看，matrix 服务器也无法得知你的IP地址，因为每个 qube 都有不同的 tor 连接你可以把其它 qube 的n etVM 设置为 sys-whonix，打开 qube 的浏览器，检测是否连接 tor ，看看 ip 地址是否相同来验证。

此点存疑，希望有专业人士可以详细解释

输入法安装

templates > debian-12-xfce > xfce 终端 > 在这个debian 上安装你喜欢的输入法，相关教程搜debian 输入法安装即可，这里推荐 fcitx5 。

qube manager > element-1 > App shortcuts > 同样的操作把相关输入法转移到右边，让输入法可在这个 qube 上使用。

大体上的意思就是你得在模板上安装的软件，才可以在以这个模板为基础建立的 qube 上使用。

高阶操作

以上述的操作循环，可以建立更多的 element-1 这样的qube，可以同时快速管理不知多少的 matrix 账户。

element 账户密码存储： qube manager > vault > App shortcuts > 把keepassxc 转移到右侧

名为 vault 的这个 qube 始终处于断网状态，可以用这个保存账户密码。

其它

本文首先发布在 2047.one 网站，遵守 CC BY-NC-SA 4.0 署名-非商业性使用- 4.0

转载时请署名 Dreamer 057F 2D5E BADE 1A65 FFEF 1B09 58CA B381 5F2D 4A64，也可以署名我在2047的主页。

我推荐你转载此教程到其它论坛（红迪品葱什么的，都行），但请把我PGP公钥的指纹带上，反响不错我再写几个 qubes os 教程，首发在2047。

联系

这是我的 PGP公钥与指纹，我目前没有开通电子邮件，请以此PGP密钥为准。

指纹：057F 2D5E BADE 1A65 FFEF 1B09 58CA B381 5F2D 4A64

在导入此公钥后请确认指纹是否与我在此张贴的是否相同（我还是十分信任2047.one 不会篡改我的公钥的） 公钥全文

-----BEGIN PGP PUBLIC KEY BLOCK-----
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=RX51
-----END PGP PUBLIC KEY BLOCK-----