@Dreamer
@Dreamer
关注的小组(2)
动态 帖子 5 评论 1 短评 0 收到的赞 5 送出的赞 0
  1. Dreamer   在小组 国家局域网研究所 发表文章

    利用 Qubes-os 懒人的安全运行I2P网站指南

    阅前注意

    我是 Dreamer ,这次我要说的是如何使用 Qubes os 懒人的安全运行I2P网站,此教程针对 Qubes os user。

    在阅读之前,你最好先去我的 github 仓库 https://github.com/Dreamer2048a/pgp-article 获取本文的签名,以验证文章的完整性,确定本文是我写的,从本文开始,所有的文章都会有我的 PGP 密钥签名。

    请注意,我的 PGP 密钥是我唯一的身份验证手段,因为 github 并不是一个去中心化的网站,账户所有权有可能被盗。 你可以在这里获取我的公钥 https://raw.githubusercontent.com/Dreamer2048a/pgp-article/main/public_key ,这是我的公钥指纹,导入后请确保指纹一致,以防网站恶意篡改我的指纹,你可以去其他平台 你可以去其他平台,比如品葱,对比我被转载的帖子中的指纹。

    公钥指纹:057F 2D5E BADE 1A65 FFEF 1B09 58CA B381 5F2D 4A64

    大致介绍

    利用 Qubes-os 的一次性 appVM 搭建可以快捷启动的 i2p 网站,每次只需要鼠标左键虚拟机即可启动网站,关闭时所在的 appVM 自动还原,下一次启动还是老样子,保证网站的安全性。

    配置一次就可以一直使用,懒人必备。

    i2pd(I2P Daemon): I2P 客户端的全功能 C++ 实现,速度更快

    I2P(隐形互联网协议)是通用的匿名网络层。 所有通过 I2P 的通信都是匿名且端到端加密的,参与者 不要透露他们的真实 IP 地址。

    I2P客户端是一个用于构建和使用匿名I2P的软件 网络。 此类网络通常用于匿名点对点 应用程序(文件共享、加密货币)和匿名客户端服务器 应用程序(网站、即时消息、聊天服务器)。

    SimpleWebServer:一款开源的HTTP服务器,它的最大优势在于其无需编写任何配置文件的图形化界面,只需点击几下鼠标,你就可以启动自己的网页服务器。这对于那些不想深入技术细节的用户来说,是一个理想的选择。

    条件

    装着 Qubes os https://www.qubes-os.org/ ,熟悉 Qubes os 基础文档 https://www.qubes-os.org/doc/#how-to-guides ,了解 Qubes os 专业术语。

    可信任的翻墙服务

    可连通的互联网

    会谷歌在社区找文档,方法,会礼貌理性的问社区

    备用 i2pd 文档 https://i2pd.readthedocs.io/en/latest/

    制作 i2p-for-web templateVM

    克隆一个全新的 debian template VM,命名为 i2p-for-web ,这里用的是 debian 12

    在一个临时的 appVM 中去 i2pd 官网 i2pd.website 下载 i2pd 安装包,并验证无误,自己构建也可。

    同理,在 simplewebserver 官网下载 https://simplewebserver.org/ simplewebserver 。

    把两个文件传输到 i2p-for-web ,这是一个 templateVM ,不要设置 netVM 。

    安装这两个安装包

    建立 i2p-for-web-disp appVM

    建立新 appVM ,以 i2p-for-web 为 template ,netVM 设置为可信赖的网关,在大陆的选个可以突破gfw的,否则 i2p 无法访问。

    把 simplexwebserver ,firefox 勾选到右侧

    启动 i2p-for-web-disp appVM 的终端

    根据 https://www.qubes-os.org/doc/bind-dirs/ 这样做

    
    sudo mkdir -p /rw/config/qubes-bind-dirs.d
    
    sudo touch /rw/config/qubes-bind-dirs.d/50_user.conf
    
    sudo nano /rw/config/qubes-bind-dirs.d/50_user.conf
    
    

    输入,让这两个文件夹保持持久,在重启后不消失

    binds+=( '/var/lib/i2pd' )
    binds+=( '/etc/i2pd' )
    
    

    接下来设置隧道

    sudo nano /etc/i2pd/tunnels.conf
    

    添加这些内容

    [anon-website]
    type = http
    host = 127.0.0.1
    port = 8080
    keys = web-keys.dat
    

    记得保存

    打开 simplexwebserver ,新建一个服务,端口设置为 8080 ,文件夹路径随便选一个,到时候把网站的文件丢你选的文件夹路径即可。

    打开 firefox

    网址输入 localhost:7070 进入 i2pd 控制台

    http://localhost:7070/?page=i2p_tunnels

    这个地方有你搭建的网站的网址,比方说我新建的 i2p 博客,你可以在每周五的苏黎世时间下午 2:00 - 3:00 尝试访问,里面包含一个彩蛋。

    lo5m6yuu44djiycxbco5xzdsofkzshznhiccqbluxxrj2zsbw3pq.b32.i2p
    

    关闭 appVM

    配置一次性 appVM

    在把静态文件都放进去后,把刚刚的 appVM 的设置中勾选 disposable template ,这样每次点击这个 appVM 后,都是全新的。

    如果需要更新网站的内容,只需要取消勾选 disp template ,再放入静态文件,再勾选即可

    其它

    本文首先发布在 2047.one 网站,遵守 CC BY-NC-SA 4.0 署名-非商业性使用- 4.0

    转载时请务必署名 Dreamer 057F 2D5E BADE 1A65 FFEF 1B09 58CA B381 5F2D 4A64,也可以额外署名我在2047的主页。

    你也可以在每周五苏黎世时间下午 2:00 - 3:00 尝试访问我在 i2p 网络中的博客

    lo5m6yuu44djiycxbco5xzdsofkzshznhiccqbluxxrj2zsbw3pq.b32.i2p
    

    我推荐你转载此教程到其它论坛(红迪品葱什么的,都行),但请把我PGP公钥的指纹带上。

    你可以通过向 Dreamer2047@protnmail.com 发送电子邮件,和我讨论相关问题,请使用我的公钥加密文本,我不会通过2047等网站的回复功能回答问题,我生活在瑞典附近,在每天的苏黎世时间 下午2:00 我会回复邮件。

    往期回顾

    • 利用 Qubes-os 懒人的安全运行I2P网站指南 https://web.archive.org/web/20240626124049/https://2047.one/t/21804
    • 高危人士如何在墙内该用什么操作系统保护自己的安全?Qubes-os 介绍 https://web.archive.org/web/20240212070218/https://2047.one/t/21493
    • 安全快速访问 matrix 教程以及进阶操作 Qubes-os 系列教程 https://web.archive.org/web/20231228153526/https://2047.one/t/21363
  2. Dreamer   在小组 国家局域网研究所 回复文章

    I2P其实可以直接拿来直连翻墙,近日临64之时,某政府的阻拦互联网自由的行为更为猖獗,为诸提供几个免费翻墙思路

    -----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256

    谢谢你的补充,你能否留下一个联系方式,深入探讨一下? 这是我的公钥 https://raw.githubusercontent.com/Dreamer2048a/pgp-article/main/public_key

    公钥指纹:057F 2D5E BADE 1A65 FFEF 1B09 58CA B381 5F2D 4A64 -----BEGIN PGP SIGNATURE-----

    iQIzBAEBCAAdFiEEBX8tXrreGmX/7xsJWMqzgV8tSmQFAmZbBj8ACgkQWMqzgV8t SmSmJg//Rr7d5eyrpwpyHkH7AGYMi88bjk2hUxMcSRa1cNBQzvOTx+XPruo7J4qc 8s9PzAzDLmOkG0p94j/Z4XocgIK9rkanWq1r55vwbE6QbvhkIlUA8fjmwnWFGgqZ /eGKW2nb+1/QnVIVxGi5vLcZl1lTCCIbMn8G5e8fs2v2j+FOHFNJt4Vy6G4K0kvW WsNsUC7mwMS0LAN8Q8ox5KfHaC5QBs0z4Gce8vQK9wDv/QLbtZ4flP1HjI9D80SA teZDo0/58s07f8kxs13Jfpjpg3kq7PwOWocSNFg8vdb0k8+bb3nPu0yLF0zULE81 lYdC2So+PMqT33tHWalSJckrewJmizRK/uMzpMVbVfDML1KpZKE5zWxMQ2/DN9cK wLGmfb0E/f2cIx210YsES9w6sfPD9lyNC0H2o3DMQHL9tl81ZSPxkOChLQUijOWm +wOVSXilpFiNKnX/ZZeOJsPKscS4u2kVFiot+hTXQfb6CGEkCv/nSKeKdn8cA0Ht CPag3UatY5EIJuSThXtQeNvGM6cInT72X/k3AQWa1HPSz3HJ68g+EN7qSJ9ki5gb y3ct1uruJW0ojcbtkcjBRmEsZAPRJJih6O6+Pe6xfZyM16epdWFCJP9U34vL1uTg 60ylYEPugkAbtIkFTaMu9CLVGbzD98IPzjj4oEeeeAb1ERSg1Hw= =tCKO -----END PGP SIGNATURE-----

  3. Dreamer   在小组 国家局域网研究所 发表文章

    I2P其实可以直接拿来直连翻墙,近日临64之时,某政府的阻拦互联网自由的行为更为猖獗,为诸提供几个免费翻墙思路

    近日临64之时,某政府的阻拦互联网自由的行为更为猖獗,我时间不多,更此短文,为诸提供几个免费翻墙思路,这些文章我后续会写。

    CLOUNDFLARE 公司的 WARP ,这项服务是免费的,你可以通过优选IP选取低延迟的IP翻墙,访问主流国外的即时通讯软件毫无问题,包括TOR网络,这是一个稀有的选择,为之后会推出结合 QUBES OS 的使用教程,根据我的调研,速度很快,远远超过迷雾通

    I2P 其实是可以直接拿来翻墙的,不单单是访问 I2P 内部网络,你们可能忘记了I2P的出口代理,其中由 暴风云 经营的出口代理很稳定,很受欢迎,速度堪比 TOR ,安装 I2P 教程看我上一篇教程,在大陆的只需要补一下节点就能用了,目前党国并没有封锁彻底,可能就我在提这个翻墙方法。

    本短文未签名,请注意

  4. Dreamer   在小组 2047 发表文章

    2024年如何入门使用I2P网络?如何使用最顶级的匿名手段?

    阅前注意

    我是 Dreamer ,这次我要说的是如何入门,使用I2P,访问I2P网络,使用I2P网络中的电子邮件与IRC服务实现最顶级的匿名手段,这是继编程随想后的在中文互联网上最新最易上手的关于I2P的教程,他的文章太旧了。

    看前最好先去我的 github 仓库拿签名去验证一下文章的完整性,确定本文是我本人写的,从本文开始我的所有文章都会被我的PGP密钥签名,未被签名的以我署名的文章均不是我写的。

    注意,请以我的PGP密钥为我的唯一身份认证方式,因为 github 作为一个并不是去中心的网站,账户的所有权被窃取了也是存在可能性的。 你可以在这里 获得我的公钥,以下我的公钥指纹,请在导入后确定指纹与此相同,为防止网站恶意篡改我的指纹,你可以去其它平台品葱等平台中比对我被转载的帖子中的指纹。

    指纹:057F 2D5E BADE 1A65 FFEF 1B09 58CA B381 5F2D 4A64

    大致介绍

    I2P(Invisible Internet Project即“隐形互联网计划”),是一项混合授权的匿名网络项目。 I2P网络是由I2P路由器以大蒜路由方式组成的覆盖网络,建立于其上的应用程序可以安全匿名的相互通信。它可以同时使用UDP及TCP协议,支持UPnP映射。其应用包括匿名上网、聊天、搭建暗网服务和文件分享。

    更多请看 https://zh.wikipedia.org/zh-cn/I2P

    其它的介绍请自行搜随想的I2P的简单扫盲,我总结下来I2P就是一个与TOR类似的网络,它们都是在明网之下的,而其与TOR相比显著的优点有:

    1 匿名性更高,可以自定义设置跳转节点,多次弹跳

    2 完全分布式,自发组织的开源项目,开发者大多是完全彻底匿名的

    3 更多配套的设施(专门为I2P服务的 BitTorrent,IRC,邮件,网站服务)

    4 每个人都是节点,为其它人路由(大家一起增加匿名性)

    I2P被比喻成大蒜,一块一块散落开来,与 TOR 的洋葱象征不同,洋葱是层层包裹的,只要解开外面的三层就可以知道里面的内容,I2P被许多在大部分国家被设定为非法的网站作为最后栖息地,它们更倾向于在I2P中提供服务

    在 进入 I2P 后,同样可以通过使用第三方的出口代理服务或者自己搭建出口代理,像 TOR 一样访问明网。

    准备

    • 自己的设备上装有 Linux 操作系统,例 ubuntu,(推荐使用 Qubes os 增强安全性),不使用 windows ,mac os 等非开源桌面操作系统
    • 数额一般的电子钱币
    • 在网络封禁较为严格的地区需要准备翻墙服务

    开始

    购买 VPS

    我们的策略是在一台远程的 VPS 上运行 I2P 相关软件,使用 SSH 端口转发到本地的电脑上,用本地的电脑间接的访问 I2P,所以我们需要先购买一个VPS,VPS 的要求如下。

    • 一个公网IP
    • 内存大于 500MB
    • 每月大于100G的流量(用的多可以加)
    • 运行 linux 发行版
    • 服务商信誉良好,不在言论管控严格地区(例不购买阿里云等在中国提供服务的VPS服务商)

    支付手段优先选择加密货币支付。

    如果不知道什么是 VPS 请看 https://zh.wikipedia.org/zh-cn/%E8%99%9A%E6%8B%9F%E4%B8%93%E7%94%A8%E6%9C%8D%E5%8A%A1%E5%99%A8

    安装 I2P 软件包

    在VPS服务商购买成功后,一般会获得 VPS 的 IP 地址和密码,使用 SSH 连接到 VPS ,在一些特定地区如果无法访问可以试试搭配翻墙服务。 以下都是假设 VPS 的系统是 Ubuntu 18.04或更高版本

    ssh user@ip_address -p port
    
    其中:
    
        user:服务端的用户名,这里第一访问填 root 就可以了
        ip_address:服务端的公网IP地址
        port:服务端的SSH端口号,默认是22
    
    例如,要访问IP地址为123.45.67.89,SSH端口号为22的服务,可以使用以下命令:
    
    ssh user@123.45.67.89 -p 22
    
    如果服务端使用了非默认的SSH端口号,则需要在命令中指定端口号。例如,要访问IP地址为123.45.67.89,SSH端口号为2222的服务,可以使用以下命令:
    
    ssh user@123.45.67.89 -p 2222
    
    

    在连接到 VPS 后,我们需要安装 I2P 软件包,这里使用的是 I2P 项目官方的软件包,其它的衍生的可以自己探索,例 i2pd

    apt-add-repository ppa:i2p-maintainers/i2p
    
    apt-get update
    
    apt-get install i2p
    

    这段来源于 https://geti2p.net/zh/download/debian ,也可以使用官方的其它安装方法在 VPS 上安装 I2P 软件包,apt-add-repository 指令没找到,安装下 PPA 就可以了。

    接下来我们需要一个用户来运行 I2P,不使用 ROOT 身份运行 I2P

    useradd test
    

    这条指令是创建一个名为 test 的用户,你想要什么名字都可以,输入后会让你设置密码等等,密码设置的复杂一些,保证安全。

    passwd test
    

    用这个可以设置 test 用户的密码

    设置完毕后,输入 exit,ctrl+c 断开 SSH,登陆 test ,密码是你设置的。

    ssh test@123.45.67.89 -p 22
    

    启动 I2P

    i2prouter start
    

    I2P 已经被启动了,最后一步是使用 SSH 端口转发,让本地的电脑可以访问到 VPS 上的 I2P,I2P 默认的几个端口都是要用的,使用 WIREGUARD 等也是好的主意,以下是这些端口的用处,我提供一个常用的 SSH 端口转发的指令。

    一般来说只是用的到 4444,6668,7657 这三个端口,如果你要自己搭建 I2P 网站,也可以去用 7658 端口,7659 和 7660 可以帮助使用 I2P邮件服务

    ssh -L 127.0.0.1:7657:localhost:7657 -L 127.0.0.1:4444:localhost:4444 -L 127.0.0.1:7659:localhost:7659 -L 127.0.0.1:7660:localhost:7660 test@123.45.67.89 -p 22
    
    端口 网络接口 描述 传输控制协议/用户数据报协议
    4444 127.0.0.1 HTTP 代理 传输控制协议
    4445 127.0.0.1 HTTPS 代理 传输控制协议
    6668 127.0.0.1 IRC 代理 传输控制协议
    7654 127.0.0.1 I2CP 协议 传输控制协议
    7656 127.0.0.1 SAM Bridge TCP 传输控制协议
    7657 127.0.0.1 路由控制台 传输控制协议
    7658 127.0.0.1 I2P 网页 传输控制协议
    7659 127.0.0.1 SMTP 代理 传输控制协议
    7660 127.0.0.1 POP3 代理 传输控制协议
    7652 LAN 接口 UPnP 传输控制协议
    7653 LAN 接口 UPnP 用户数据报协议
    12345 0.0.0.0 I2NP 协议 传输控制协议 和 用户数据报协议

    在输入这个指令后请检查有没有转发成功根据,https://geti2p.net/zh/about/browser-config 配置浏览器的代理,让浏览器的流量全部走 I2P ,请使用开源的浏览器,Firefox ,librewolf,闭源的浏览器很不安全。

    配置 I2P

    在浏览器的网址栏输入 127.0.0.1:7657 访问 路由控制台,在这里可以操纵你的路由,根据向导一步一步完成,I2P 的中文支持还可以。

    推荐你把其中的上传和访问量设置为它的推荐量,这有利于对 I2P 的贡献,和 BitTorrent 有点像,所有人都提供一些流量,可以更好的增强匿名性。

    配置完成后,你可以试着访问路由控制台中的几个网址,例 I2P 论坛,I2P邮箱。

    高级玩法

    • thuderbird + i2p mail

    i2p mail 与 thuderbird 结合,提升邮箱的便利性。

    • irc 服务

    i2p irc 服务可以自己搭建也可以使用官方的,即时聊天,只需要使用 irc 客户端,再转发 6668 端口,举一反三。

    • 搭建反贼博客网址

    转发 7658 端口,在浏览器访问 127.0.0.1:7658 ,里面有详细的教程

    • 加强浏览器安全性

    给浏览器安装 NoScript 等插件,组装成一个小 tor 浏览器。

    • 使用 qubes os 一次性虚拟机,想要了解斯诺登同款的 qubes os 系统参考我的往期回顾

    其它

    本文首先发布在 2047.one 网站,遵守 CC BY-NC-SA 4.0 署名-非商业性使用- 4.0

    转载时请务必署名 Dreamer 057F 2D5E BADE 1A65 FFEF 1B09 58CA B381 5F2D 4A64,也可以额外署名我在2047的主页。

    我推荐你转载此教程到其它论坛(红迪品葱什么的,都行),但请把我PGP公钥的指纹带上,反响不错我再写几个 qubes os 教程,首发在2047。

    你可以通过向 Dreamer2047@protnmail.com 发送电子邮件,和我讨论相关问题,请使用我的公钥加密文本,我不会通过2047等网站的回复功能回答问题,我生活在瑞典附近,在每天的苏黎世时间 下午2:00 我会回复邮件

    往期回顾

    • 高危人士如何在墙内该用什么操作系统保护自己的安全?Qubes-os 介绍 https://web.archive.org/web/20240212070218/https://2047.one/t/21493
    • 安全快速访问 matrix 教程以及进阶操作 Qubes-os 系列教程 https://web.archive.org/web/20231228153526/https://2047.one/t/21363
  5. Dreamer   在小组 国家局域网研究所 发表文章

    高危人士如何在墙内该用什么操作系统保护自己的安全?Qubes-os 介绍

    阅前注意

    我是 Dreamer ,这次我要说的是墙内高危人群为什么要使用 Qubes-os 操作系统来保护自己的安全。

    在阅读之前,你最好先去我的 github 仓库 https://github.com/Dreamer2048a/pgp-article 获取本文的签名,以验证文章的完整性,确定本文是我写的,从本文开始,所有的文章都会有我的 PGP 密钥签名。

    请注意,我的 PGP 密钥是我唯一的身份验证手段,因为 github 并不是一个去中心化的网站,账户所有权有可能被盗。 你可以在这里获取我的公钥 https://raw.githubusercontent.com/Dreamer2048a/pgp-article/main/public_key ,这是我的公钥指纹,导入后请确保指纹一致,以防网站恶意篡改我的指纹,你可以去其他平台 你可以去其他平台,比如品葱,对比我被转载的帖子中的指纹。

    公钥指纹:057F 2D5E BADE 1A65 FFEF 1B09 58CA B381 5F2D 4A64

    大致介绍

    Qubes os 拥有完善的图形界面,很好理解的操作逻辑,相比其他操作系统,如 Windows、Mac os 等一系列非开源系统,具有无可比拟的安全性,这些系统对于高墙内的高危人群来说是极其危险的,Windows在中国有分公司,苹果在中国已经扎根,大反贼们不要妄想买一部苹果就会降低他们的风险。这些公司都与中国政府关系密切,作为墙内的高危人群,你不怕吗?

    在 Linux 发行版中,公认安全性不错的是 Tails、whonix 和 qubes os,后者结合了 whonix 和 tails 的大部分优点。 Qubes os 本质上是创建若干虚拟机来运行单个软件,每个虚拟机都被完全与其他虚拟机隔离。

    系统本身内置了许多虚拟机,像专门连接网络的虚拟机,专门运行软件的虚拟机,专门用作连接tor的虚拟机等,这些虚拟机互相隔离,其中一个被攻破了也不用担心其它的虚拟机中的数据受到影响。

    你可以自己建立特别的虚拟机,像是专门用来跑 vpn 的虚拟机,其它装着软件的虚拟机如果需要翻墙,直接在管理软件中点几下就会让这个应用软件的虚拟机的网络通过这个 vpn 虚拟机。

    这只是粗略的分法。 更多玩法请看此图 https://www.qubes-os.org/attachment/site/qubes-partition-data-flows.jpg

    反贼,工作两分离

    qubes os 上的虚拟机互相连接可以制作很多玩法,你可以把专门做反贼内容,专门登入反贼网站的浏览器,数据存在一个虚拟机中,平日在现实的合法工作的各自数据存在另一个虚拟机中,(访问公司网站,写合法的文章,运行微信,qq等监控性质,风险的软件),点点手指,再把前者的反贼虚拟机连接到 vpn 虚拟机中,让反贼虚拟机的所有网络通过 vpn。

    你还能设置 vpn 虚拟机的网络经过 whonix 网关,也就是 tor,这样反贼虚拟机的网络先经过 vpn 翻墙出去,再连接到 Tor 网络中,跳转三个服务器最后到目标网站,而工作的虚拟机没有任何影响,正常直连国内的网络

    更多玩法看此文 https://www.qubes-os.org/doc/how-to-organize-your-qubes/

    快速实现编程随想的双重代理

    随想君说过一个双重代理的策略,这对于非极客来说很难,可能还会出现误操作,很不友好,而对于 qubes os 却非常简单,只需要动动鼠标

    work-qube > sys-vpn2 > sys-whonix > sys-vpn1 > sys-net

    这是一个简单的在 qubes os 上的双重代理的策略,work qube 是你的做反贼事情的虚拟机, sys-vpn2 是后置代理, sys-whonix 是 tor ,sys-vpn1 是前置代理, sys-net 是你的wifi等电脑直连的。

    反贼虚拟机的网络先经过 sys-net 也就是你的 wifi 到达 sys-vpn1 配置的 VPN 服务,再通过 sys-whonix 配置的 tor ,跳转三个服务器,再经过 sys-vpn2 中配置的 VPN 服务,最后访问到你要访问的网站。

    我还没有写好 Qubes os 双重代理的详细教程,理论上讲会建立一个帮助翻墙的 VPN 虚拟机就会编程随想君所谓的双重代理了。

    高匿名性,多用户快捷访问某些聊天软件

    举例我需要安全的访问一个聊天软件,我在这个聊天软件上有三个身份,不能被这个聊天软件的经营者发现我的这三个身份其实是我一个人控制的,像使用同一个 VPN 访问三个聊天软件可能就要被识破。

    我可以复制这个聊天软件所安装的虚拟机,复制三个甚至更多,给每个聊天软件的虚拟机设置不同的 vpn 虚拟机,再给其中几个虚拟机设置 tor ,这样聊天软件的所有者就很难知道这几个身份的所有者都是同个人,大大提高安全性。

    我在 2047 论坛写过一篇类似的教程,你可以看看

    https://web.archive.org/web/20231228153526/https://2047.one/t/21363

    一次性虚拟机,办完事自动删除整个虚拟机的所有数据

    whonix-workstation-dvm 这个模板的用处就是像小标题所说,每打开其中的一个 tor 浏览器,它便会自动创建一个全新的一次性虚拟机去打开 tor 浏览器,你可以再点一下,还会生成一个全新的,关掉其中一个虚拟机的 tor 浏览器,对应的一次性虚拟机就会被彻底删除,不留任何痕迹。

    这防止的是有网站通过 tor 浏览器的漏洞暗暗塞病毒潜入你的电脑,只要把访问过网站的虚拟机删除就大概率可以避免这个问题了,这样 tor 浏览器的漏洞出现的事故就不会影响到了除此虚拟机外其它的虚拟机中的软件了。

    全盘加密

    Qubes os 在首次开机设置时会要求你设置一个密码,这个密码是用于解密整个 Qubes os 的数据的,没有这个密码,整个 Qubes os 的数据就是一堆被加密的乱码,降低了电脑被强制打开,或者被破解的可能性。

    总结

    1 开源,免费,代码完全公开

    2 具有可信度,有团队支持(Whonix 项目 qubes 项目)

    3 安全性强

    4 操作简便,图形化界面多,可变化性多,不复杂

    5 文档较为完善

    如何安装,学习 Qubes os

    请点击官网,一步一步的根据下载教程安装,如果此文章反响不错我会出相关教程。

    比方说如何安装配置场景写作软件,帮助身在高网络审查地区的记者使用 Qubes os 安全上网。

    但如果你会去谷歌,去看文档,花些时间,这些其实都不是什么事,也不需要我那如同我那不起眼的级教程了,针对高危人士得这样去下功夫。

    这是官网 https://www.qubes-os.org

    其它

    本文首先发布在 2047.one 网站,遵守 CC BY-NC-SA 4.0 署名-非商业性使用- 4.0

    转载时请务必署名 Dreamer 057F 2D5E BADE 1A65 FFEF 1B09 58CA B381 5F2D 4A64,也可以额外署名我在2047的主页。

    我推荐你转载此教程到其它论坛(红迪品葱什么的,都行),但请把我PGP公钥的指纹带上,反响不错我再写几个 qubes os 教程,首发在2047。

    你可以通过向 Dreamer2047@protnmail.com 发送电子邮件,和我讨论相关问题,请使用我的公钥加密文本,我不会通过2047等网站的回复功能回答问题,我生活在瑞典附近,在每天的苏黎世时间 下午2:00 我会回复邮件

    往期回顾

    • 安全快速访问 matrix 教程以及进阶操作 Qubes-os 系列教程 https://web.archive.org/web/20231228153526/https://2047.one/t/21363
  6. Dreamer   在小组 国家局域网研究所 发表文章

    安全快速访问 matrix 教程以及进阶操作 Qubes-os 系列教程

    我是 Dreamer ,这次教大家如何利用 Qubes os 这个系统快速安全的建立多个身份,多个虚拟机访问 matrix 进行匿名聊天。

    继随想君的 tails os 系列,我更加推荐 Qubes os,善用这个系统,会大大提升你的匿名程度。(大名鼎鼎的斯诺登先生曾经说自己也用 qubes os https://twitter.com/Snowden/status/781493632293605376 )

    一些展示,请看此图 https://www.qubes-os.org/attachment/site/qubes-partition-data-flows.jpg qubes os的优势很明显,每个qube(在qubes os中大概是虚拟机的意思,下文都用这个代指) 都是完全隔离的,数据在没经过你的同意下是无法互相传输的。

    详细参考 Qubes os 官网介绍 https://www.qubes-os.org/intro/

    目前互联网的中文世界中并没有几篇对此系统的详细教学,只有整个系统的粗略介绍,希望你可以多多转载此教程,促进更多有识之士填补这块漏洞,让更多人掌握更强的匿名上网技术。

    如果你有什么看法,对这个教程的质疑,请在评论区指出修改。

    优势:

    1 不需要你们所说的通过 tor浏览器访问 element 官网再登陆进行聊天,这过于繁琐,每次切换账号,网页加载就需要花费非常久的时间。

    2 安全性更高,每个安装着 element 的 qube (qubes os中对虚拟机的称呼)都会强制其中的所有流量经过 sys-whonix ,也就是经过了tor,而每个 qube 的最终经过Tor显示的ip也会不一样。

    3 快捷性,便捷性,秒多开账户,快速备份整个qube以备份整个账户。

    4 待补充

    劣势:

    1 需安装 Qubes os

    2 待补充

    环境

    你的设备上必须安装着 qubes os 这个系统,这是官网 https://www.qubes-os.org/ 请根据官网上的操作安装这个系统,这个系统能否成功安装主要取决于你的设备是否达到了官方所说的一定的要求,(这个要求在安装时会自动检测是否合格,不合格也不会给你装)。

    如果你连一点洋文都看不懂,或者不理解安装一个系统,那么去油管上搜 qube os 这关键词寻找教程,安装教程极多,善用搜索引擎解决问题,这都安装不了 qubes os,请用 Tails os 去吧。

    我的版本是 Qube os 4.2

    开始

    我就不用命令行指令教学了,对于普通人可视化的操作界面更加方便理解,先用纯文字教学,上手后教程使用类似 apps > vault 这类简易表达方式表示相关简单操作。

    给 TemplateVM 安装 element

    方法一

    点击左上角的LOGO,有个齿轮,点进去,有个 Qubes tools 这个文字右边有个软件叫 qube manager,点击这个。

    右键 debian-12-xfce 我们得先从这个模板上安装 element客户端,这样才可以在它身上创作出的appvm有 element可以用。

    再点击setting,点击Net qube右边这个长框,切换到 sys-firewall ,系统会弹出警告,你确定就完事了,这意味着这个模板的安全度下降了,因为一般来说模板不会让它允许联网的,现在你联网可能会让病毒从互联网中进入这个模板,我这里牺牲了一点安全性获得了一些便利,一套指令就能搞定。

    还是老样子点开左上角,有个 Template ,点击,找到 debian-12-xfce ,鼠标移上去,右边有个对应的 xfce terminal,点开,输入下面这几串代码。

    如果你仔细看过系统文档你就会知道如何跨qube复制黏贴文本,请细细看系统的相关文档,这可以加快你的效率。

    sudo apt install wget
    
    sudo apt install -y wget apt-transport-https
    ‍
    sudo wget -O /usr/share/keyrings/element-io-archive-keyring.gpg https://packages.element.io/debian/element-io-archive-keyring.gpg
    ‍
    echo "deb [signed-by=/usr/share/keyrings/element-io-archive-keyring.gpg] https://packages.element.io/debian/ default main" | sudo tee /etc/apt/sources.list.d/element-io.list
    

    报错了直接去搜索引擎解决,一般不会出错误,这样你就完成了这一步骤,叉叉掉这个窗口就行。

    当你理解并学会操作这方面后就不要在使用这个连过网络的模板了,其中可能包含着病毒。

    资深这方面的也可以选择直接去下 element 的源代码自己本地编译一下,在编译好后文件右键传输到 debian-12-xfce 这个qube中,再进行安装,这比给模板联网安装安全性更高。

    方法二(推荐)

    不在原 debian-12-xfce 上安装 element,我们需要再克隆一个新的模板

    qube manager > 右键 debian-12-xfce > clone qube > ok

    给克隆出的模板赋予联网权限

    qube manager > debian-12-xfce-clone-1 > settings > net qube 设置为 sys-firewall

    打开终端

    debian-12-xfce-clone-1 > xfce terminal

    输入方法一中的指令,安装 element,在接下来的操作中的 qube

    建立 element 虚拟机(AppVM)

    还是在 qube manager 上操作,点左上角的 new qube,这是创建新qube的,然后你可以自己写个名字,我们就暂且命名为 element-1,type 这里选定为 Appvm ,因为最近男朋友整我整太累了,这里不细讲这type里的几个选项的含义了,直接去看搜qube os的文档就可以理解,以后有需要我再细讲。

    Template 选 debian-12-xfce (你安装 element 的模板)

    Networking 选择 sys-whonix ,这是至关重要的,这强制 element-1 中所有网络必须通过 sys-whoix 中的 tor,哪怕 sys-whonix 不工作,或者没有连接上tor时,也会强制这样做(都不工作网络就连不铜)

    点击OK。

    这个时候会出现一个 element-2 的qube在qube manager 的列表里,你只需要左键选中此qube,点击窗口上方的App shortcuts,在左边这个意思为可用的软件列表里找到 element ,选中,再点 > ,让它到右边。

    点击ok,此步骤完成。

    连接tor

    先点击右上角红色的网络的图标,连接互联网(软路由,热点共享翻墙都可以)

    点击左上角 > service > sys-whonix > anon connection wizard > next 戳到底

    如果配置网桥,element 的加载速度反而速度更慢。

    也可参考 https://www.whonix.org/wiki/Qubes/Tor_Browser

    创建账户

    一行行来

    还是左上角 > apps > element-1 > element > 到来熟悉的界面,点创建账户

    apps > whonix-workstation-17-dvm > tor 浏览器 在新出现的窗口中点击 tor check 验证是否连接到了Tor,确认连接到了,搜个临时邮箱服务,注册 matrix 账户,同时在 element-1 这个窗口登陆此新注册的账户。

    这是创建了一个一次性的qube,来访问互联网,注册登陆后就可以直接叉叉掉这个窗口了,此时这个qube就会消失,保证你的数据安全。

    进入账户后把注册的邮箱地址给删除,防止邮箱服务商登陆你的账户。

    截止这里,你的访问 matrix 的策略已经是

    element-1 > tor > sys-net

    也可以这样理解

    前置代理 > TOR > MATRIX 服务器

    这样看起来只有前置代理知晓你在访问 Tor ,但它也不知道你通过 Tor 访问了什么网站,关于这一点的依据可以参考一些特殊的翻墙服务提供商对某些网站的屏蔽,爱国机场屏蔽的网站你直接去访问访问不了,但你如果通过 Tor 就可以访问了。

    反着来看,matrix 服务器也无法得知你的IP地址,因为每个 qube 都有不同的 tor 连接你可以把其它 qube 的n etVM 设置为 sys-whonix,打开 qube 的浏览器,检测是否连接 tor ,看看 ip 地址是否相同来验证。

    此点存疑,希望有专业人士可以详细解释

    输入法安装

    templates > debian-12-xfce > xfce 终端 > 在这个debian 上安装你喜欢的输入法,相关教程搜debian 输入法安装即可,这里推荐 fcitx5 。

    qube manager > element-1 > App shortcuts > 同样的操作把相关输入法转移到右边,让输入法可在这个 qube 上使用。

    大体上的意思就是你得在模板上安装的软件,才可以在以这个模板为基础建立的 qube 上使用。

    高阶操作

    以上述的操作循环,可以建立更多的 element-1 这样的qube,可以同时快速管理不知多少的 matrix 账户。

    element 账户密码存储: qube manager > vault > App shortcuts > 把keepassxc 转移到右侧

    名为 vault 的这个 qube 始终处于断网状态,可以用这个保存账户密码。

    其它

    本文首先发布在 2047.one 网站,遵守 CC BY-NC-SA 4.0 署名-非商业性使用- 4.0

    转载时请署名 Dreamer 057F 2D5E BADE 1A65 FFEF 1B09 58CA B381 5F2D 4A64,也可以署名我在2047的主页。

    我推荐你转载此教程到其它论坛(红迪品葱什么的,都行),但请把我PGP公钥的指纹带上,反响不错我再写几个 qubes os 教程,首发在2047。

    联系

    这是我的 PGP公钥与指纹,我目前没有开通电子邮件,请以此PGP密钥为准。

    指纹:057F 2D5E BADE 1A65 FFEF 1B09 58CA B381 5F2D 4A64

    在导入此公钥后请确认指纹是否与我在此张贴的是否相同(我还是十分信任2047.one 不会篡改我的公钥的) 公钥全文

    -----BEGIN PGP PUBLIC KEY BLOCK-----
    
    mQINBGVjLx4BEAC9GzvBMW4YveRQC46fGF+qZYD+Q4sCupRMXA/8iZaUnwKm4nnm
    TwjuRRYzE6GZJ1a8HIeHG6Q/Xvt0GwximGVf4uszEuY2HqoeT2IugyBZI3avTFxm
    q2tV342oq+bJciRt+WxOqUcTDhaMc36Br24uFthbE+mHMvWDvBIaAwRGREdeSc49
    EetjrPWOAEMjoKGvXIRX15BwYqltRUm88RHapSSiGmHz24IaMdxJeBVtBEMN6pdk
    k85aFg18yyhItKNIjyOVYV7gwEovpBfAE+hy5mn9USXgQVgmWKuk/ZZrz9KFpA/M
    ZJtYD+3OBQU81lNpKoADddz1euffk3c/WwlIYeayWcRjEIIqAIHop14za+In15sh
    c+mo1VQFGkPyyr+fKdBS4E+2Uslj6UiAmc+amrNbrCf9KNvsaGGxLTuj1XOL74sH
    YsN5OkpKtRWrgDlPgp/QMfeWr2F2d2OO1wQrXlxPhswOoqUC7xFA6YnLwih4yihh
    mPHkKob9Ez6+lGG9RwzYQNXZFm3ngLGnB4U8wdZ5WPfpqO9VVWnU4ao0Grnbpuqt
    13tTwzI6x3yWetYj21yQg2b8htjtEG7ckTsapqavxv4rUten7BmCEHsmLWMSXE4h
    CPk+QwD51dGv5TH1AJwdezAVHfn6FC2+zKSsZfJub95YOzIPwFcDeW3D3QARAQAB
    tClEcmVhbWVyLWxpa2VzLTJCLUZrIDxpZG9udGhhdmVAZW1haWwuY29tPokCUQQT
    AQgAOxYhBAV/LV663hpl/+8bCVjKs4FfLUpkBQJlYy8eAhsDBQsJCAcCAiICBhUK
    CQgLAgQWAgMBAh4HAheAAAoJEFjKs4FfLUpkbg8QAIkQYOgSG5brPOBhHNa4iHr/
    ymDjTbJuHKR6fYg+e/a6lis+YcfAQ9dmCm8LouW3JBhE/i15LjiZIOzTWWSDrpFx
    DPt3Ko/rT1lQd3sDpXGf4yhhOAdd9Yg0sZ1+PUVsnZY+zKRtMnRmd0Y2d2MXKtHC
    itsZhL2SuqdM1GqPZb31JiCds6b52sDZHJUdNkEdTclV+sjfJT3kO0UKffRugNLd
    COc5QYa6Eh/4Gwogw4oEwXVPqlEp6adj+J4QXbt4TqA5SZQkb2vpafWLomt3FQ8S
    tZgHz6ylEOSiQZz2xk+FQAwJEcN8Gw/6uIK2uKLJkY9LmjRHAnvVF3st4QJcItqL
    IbVRFk0/o79f+CIJWhMji21df1sIvLor5rqR2gHKkm3P1mUlJeXcMmW0et8aTL3Q
    WRu3nBw4XVkmfGYtcPPJ3dm0T6uMk2cBMvjB9WjBGo8I/avQcSylrMebHozNkM7o
    7DJhGktGSMpnMuPdXEbpmk654N8Kqe3CqJODX1ZhjvYSWBPj2hXPg+gsltFYD2DN
    Y+IF7Ye57p+4lhab3D2FBMpApNabjwV+ycgrVr4Mk1jABtgi1pcniiAKvGCu1sj3
    IWbSAZlJ5OVNmqAIgLF/zssyN/HaaiICft8jYvqyvNXle8zGgzc6Gy4lYW8U42yR
    VDZyLW1FJztGFdZuuQ2RuQINBGVjLx4BEADYQfLKxHb6sV6wcye/23xw5yZ6K+jv
    SQbI4PjcWBjwkROprw4lAkG1i5AWkO8Hzvpnh8YncU5UsBueOZFdf+Q5KLJWeBb6
    A+rUxj4RfTsZ0PrL87BSsUbzRBfniupBkqmubhFlHQLyyjfnKgOckGz1HNJbNOam
    M4WL0Ufg/fZNmow8Mw4EmaDyaccgGV1YDMD2f2F+M7scmIeu5HMLmVEClw6mfL5v
    szByAltHwQBXfkzbwEbIEBeA6S7wpJLdRMkzl+Jo6u+vaV8Yj2vJ4KD8VP68BVfq
    QdqHqzeWdCeWhcTiAZnB4NLSgnrwc8dj5s5xoeM1j46QqK0TSl0BWmEa8FkqaI8i
    MvviW3Q2bYKC6hxJ9M0MjP+bRePUN7y5mHJ0DIqnoTaxuIId4Lo70v6e/PBMmfR8
    T/TzY0hg/flkZhZruhahVgT2D91YAma9NT9cedxEB93jvaY51EeGGomDMP6OM8RY
    fjSiUomzvaVzEKyrv0F0tcDq/z4mw1o2iW4rzHpCiDd8pgyIVuTRTB2wVHAazw74
    PajUMH7kyN0ECCbeVuKlSh+oRE7aC1atLAh9sEGH8fHlN3YGYFRlgRSoU1hrETEo
    bSKg9Q5iHx7vpvlAGZOF5JpOXkCoXRFBCe9spaUGdc1a2dP5zIN38CLjDh1o6T0k
    mPctXu0F/Z55jwARAQABiQI2BBgBCAAgFiEEBX8tXrreGmX/7xsJWMqzgV8tSmQF
    AmVjLx4CGwwACgkQWMqzgV8tSmScrBAAkFfXQoDnEb/QEhgBgMNVaX64afTs9wii
    NN1p8OT50MG/Sgb8+ODhH3DDtN35cLrM4YN6KNRDZRONhOwsuQ/JOMy3oOgvPMz7
    aVONeuJRPAbGyA31ZEwmAT5tZjjSRmJyDYxUAKdRvos+mzpoWNzdVNzeGJ+BBDG9
    Z4m2PLqq1qhN947Sqvi1K7z9WrEsGXRRwNLTAdFiQWOIHThmgS+1vYtFm3ApS/nW
    +XGtvYfRr9RJAT5BhWJDvGEGJ6I3dEWZlDNsfJQGudScX24C4GY8EkAnphFTyvcf
    Vd3o2n5KmoR8XROnSqOV9SZmwRBCT0Cd7ToHlN954WMCYFg6oibkIPtiWHwTQUPu
    VAoqsPEXvG6M61bEpwbryTBm9LNcuCLdW/5RWP1PoDZm5acH7LX1VhfuwzKmLMpT
    dAYE7lj8fkSuYn7ciLi2T55BDE/gco9PpGtOdoMjZPDxcnPpUNwPyAfG62EKGFu8
    J+i0yKr0MadY4YX8SrQiFp7X7vpRcehEvbxbbrhlAg8ohbj7iuOsFnjk8PHF9f9X
    uASCK+FnHmbYXnlHRrg1zDhV09TAcbYzi298DYFsMytZNqan0Oj5g4ZUlqt/YyNz
    QINMrnQ/0mfSxYOOuFjPaX1ERYDBL6hX7rlUulGOAwaFep570cs/eXoL5VrDChnL
    cXPLr2J95UU=
    =RX51
    -----END PGP PUBLIC KEY BLOCK-----