阅前注意
我是 Dreamer ,这次我要说的是墙内高危人群为什么要使用 Qubes-os 操作系统来保护自己的安全。
在阅读之前,你最好先去我的 github 仓库 https://github.com/Dreamer2048a/pgp-article 获取本文的签名,以验证文章的完整性,确定本文是我写的,从本文开始,所有的文章都会有我的 PGP 密钥签名。
请注意,我的 PGP 密钥是我唯一的身份验证手段,因为 github 并不是一个去中心化的网站,账户所有权有可能被盗。 你可以在这里获取我的公钥 https://raw.githubusercontent.com/Dreamer2048a/pgp-article/main/public_key ,这是我的公钥指纹,导入后请确保指纹一致,以防网站恶意篡改我的指纹,你可以去其他平台 你可以去其他平台,比如品葱,对比我被转载的帖子中的指纹。
公钥指纹:057F 2D5E BADE 1A65 FFEF 1B09 58CA B381 5F2D 4A64
大致介绍
Qubes os 拥有完善的图形界面,很好理解的操作逻辑,相比其他操作系统,如 Windows、Mac os 等一系列非开源系统,具有无可比拟的安全性,这些系统对于高墙内的高危人群来说是极其危险的,Windows在中国有分公司,苹果在中国已经扎根,大反贼们不要妄想买一部苹果就会降低他们的风险。这些公司都与中国政府关系密切,作为墙内的高危人群,你不怕吗?
在 Linux 发行版中,公认安全性不错的是 Tails、whonix 和 qubes os,后者结合了 whonix 和 tails 的大部分优点。 Qubes os 本质上是创建若干虚拟机来运行单个软件,每个虚拟机都被完全与其他虚拟机隔离。
系统本身内置了许多虚拟机,像专门连接网络的虚拟机,专门运行软件的虚拟机,专门用作连接tor的虚拟机等,这些虚拟机互相隔离,其中一个被攻破了也不用担心其它的虚拟机中的数据受到影响。
你可以自己建立特别的虚拟机,像是专门用来跑 vpn 的虚拟机,其它装着软件的虚拟机如果需要翻墙,直接在管理软件中点几下就会让这个应用软件的虚拟机的网络通过这个 vpn 虚拟机。
这只是粗略的分法。 更多玩法请看此图 https://www.qubes-os.org/attachment/site/qubes-partition-data-flows.jpg
反贼,工作两分离
qubes os 上的虚拟机互相连接可以制作很多玩法,你可以把专门做反贼内容,专门登入反贼网站的浏览器,数据存在一个虚拟机中,平日在现实的合法工作的各自数据存在另一个虚拟机中,(访问公司网站,写合法的文章,运行微信,qq等监控性质,风险的软件),点点手指,再把前者的反贼虚拟机连接到 vpn 虚拟机中,让反贼虚拟机的所有网络通过 vpn。
你还能设置 vpn 虚拟机的网络经过 whonix 网关,也就是 tor,这样反贼虚拟机的网络先经过 vpn 翻墙出去,再连接到 Tor 网络中,跳转三个服务器最后到目标网站,而工作的虚拟机没有任何影响,正常直连国内的网络
更多玩法看此文 https://www.qubes-os.org/doc/how-to-organize-your-qubes/
快速实现编程随想的双重代理
随想君说过一个双重代理的策略,这对于非极客来说很难,可能还会出现误操作,很不友好,而对于 qubes os 却非常简单,只需要动动鼠标
work-qube > sys-vpn2 > sys-whonix > sys-vpn1 > sys-net
这是一个简单的在 qubes os 上的双重代理的策略,work qube 是你的做反贼事情的虚拟机, sys-vpn2 是后置代理, sys-whonix 是 tor ,sys-vpn1 是前置代理, sys-net 是你的wifi等电脑直连的。
反贼虚拟机的网络先经过 sys-net 也就是你的 wifi 到达 sys-vpn1 配置的 VPN 服务,再通过 sys-whonix 配置的 tor ,跳转三个服务器,再经过 sys-vpn2 中配置的 VPN 服务,最后访问到你要访问的网站。
我还没有写好 Qubes os 双重代理的详细教程,理论上讲会建立一个帮助翻墙的 VPN 虚拟机就会编程随想君所谓的双重代理了。
高匿名性,多用户快捷访问某些聊天软件
举例我需要安全的访问一个聊天软件,我在这个聊天软件上有三个身份,不能被这个聊天软件的经营者发现我的这三个身份其实是我一个人控制的,像使用同一个 VPN 访问三个聊天软件可能就要被识破。
我可以复制这个聊天软件所安装的虚拟机,复制三个甚至更多,给每个聊天软件的虚拟机设置不同的 vpn 虚拟机,再给其中几个虚拟机设置 tor ,这样聊天软件的所有者就很难知道这几个身份的所有者都是同个人,大大提高安全性。
我在 2047 论坛写过一篇类似的教程,你可以看看
https://web.archive.org/web/20231228153526/https://2047.one/t/21363
一次性虚拟机,办完事自动删除整个虚拟机的所有数据
whonix-workstation-dvm 这个模板的用处就是像小标题所说,每打开其中的一个 tor 浏览器,它便会自动创建一个全新的一次性虚拟机去打开 tor 浏览器,你可以再点一下,还会生成一个全新的,关掉其中一个虚拟机的 tor 浏览器,对应的一次性虚拟机就会被彻底删除,不留任何痕迹。
这防止的是有网站通过 tor 浏览器的漏洞暗暗塞病毒潜入你的电脑,只要把访问过网站的虚拟机删除就大概率可以避免这个问题了,这样 tor 浏览器的漏洞出现的事故就不会影响到了除此虚拟机外其它的虚拟机中的软件了。
全盘加密
Qubes os 在首次开机设置时会要求你设置一个密码,这个密码是用于解密整个 Qubes os 的数据的,没有这个密码,整个 Qubes os 的数据就是一堆被加密的乱码,降低了电脑被强制打开,或者被破解的可能性。
总结
1 开源,免费,代码完全公开
2 具有可信度,有团队支持(Whonix 项目 qubes 项目)
3 安全性强
4 操作简便,图形化界面多,可变化性多,不复杂
5 文档较为完善
如何安装,学习 Qubes os
请点击官网,一步一步的根据下载教程安装,如果此文章反响不错我会出相关教程。
比方说如何安装配置场景写作软件,帮助身在高网络审查地区的记者使用 Qubes os 安全上网。
但如果你会去谷歌,去看文档,花些时间,这些其实都不是什么事,也不需要我那如同我那不起眼的级教程了,针对高危人士得这样去下功夫。
这是官网 https://www.qubes-os.org
其它
本文首先发布在 2047.one 网站,遵守 CC BY-NC-SA 4.0 署名-非商业性使用- 4.0
转载时请务必署名 Dreamer 057F 2D5E BADE 1A65 FFEF 1B09 58CA B381 5F2D 4A64,也可以额外署名我在2047的主页。
我推荐你转载此教程到其它论坛(红迪品葱什么的,都行),但请把我PGP公钥的指纹带上,反响不错我再写几个 qubes os 教程,首发在2047。
你可以通过向 Dreamer2047@protnmail.com 发送电子邮件,和我讨论相关问题,请使用我的公钥加密文本,我不会通过2047等网站的回复功能回答问题,我生活在瑞典附近,在每天的苏黎世时间 下午2:00 我会回复邮件
往期回顾
- 安全快速访问 matrix 教程以及进阶操作 Qubes-os 系列教程 https://web.archive.org/web/20231228153526/https://2047.one/t/21363