- Сообщения
- 933
- Реакции
- 1.340
Здесь будет лог лекции "Выбираем ОС для работы и набор ПО для различных задач" от 15.05.23
И так, начнем. Для начала нам необходимо выбрать операционную систему (далее ОС) для работы.
На выбор предоставляется 4 типа ОС: Linux-системы, Windows, macOS и BSD-системы, сразу же отбрасываем Windows и macOS, они не будут использоваться в качестве основной системы. Остаются Linux-системы и BSD-системы. Поскольку BSD системы больше пригодны для работы на серверах, а не на домашнем ПК, их мы тоже отбрасываем.
В итоге у нас остается только Linux, но Linux это всего лишь ядро, а ОС на этом ядре очень много, ОС на ядре Linux называются дистрибутивами Linux. Дистрибутивов Linux очень много, ниже я приложу картинку, которая показывает, как сильно разветвлена сеть дистрибутивов Linux.
Среди этого множества дистрибутивов надо выбрать несколько, которые подойдут под различные задачи,
Будем рассматривать 2 сценария использования:
1. Использование Live-дистрибутива, т.е. система запускаться будет с флешки не оставляя следов на ПК.
Из плюсов такого сценария можно выделить портативность (работать можно практически с любого ПК и при этом с собой нужно носить только флешку) и возможность быстрого уничтожения флешки
К минусам можно отнести то, что в таком случае ограничены ресурсы системы, в особенности объем накопителя, так же, флешки выходят из строя быстрее, чем жесткие диски или SSD
2. Использование отдельного устройства для работы. При таком сценарии вы устанавливаете какой-либо дистрибутив Linux (рассмотрим далее какой именно) в качестве основной ОС и работаете с него.
К плюсам такого сценария можно отнести то, что у вас полноценное устройство для работы и нет никаких ограничений.
К минусам то, что такой подход требует отдельного устройства, а его не всегда удобно носить с собой или перевозить куда-либо.
Начнем с 1го варианта, который многим понравится из-за своей простоты и портативности. Здесь выбор очевиден – ОС Tails. Поскольку на лекции присутствуют и начинающие пользователи, то стоит остановиться на том, что вообще из себя представляет Tails и в чем её преимущества
Tails (The Amnesic Incognito Live System) - это бесплатная операционная система с открытым исходным кодом, основанная на Debian Linux. Она может быть запущена с USB-накопителя или SD-карты и разработана таким образом, чтобы не оставлять следов на компьютере, на котором она используется. Tails создана с учетом требований конфиденциальности и анонимности и включает несколько функций безопасности для защиты пользователей от онлайн-слежки, наблюдения и цензуры.
Tails работает путем маршрутизации всего интернет-трафика через сеть Tor, которая является децентрализованной сетью, обеспечивающей анонимное общение. Tor шифрует и передает данные через ряд узлов, управляемых пользователями по всему миру, что делает практически невозможным отслеживание вашей активности в интернете.
Более подробно про сеть Tor можно почитать в моей статье -
Tails также включает в себя несколько других функций обеспечения конфиденциальности и безопасности, таких как:
Tails поставляется с предустановленным различнвм ПО, например с ПО для очистки метаданных файлов (Metadata Cleaner), менеджер паролей KeePassXC, GPG и т.д.
В Tails есть функция "безопасного удаления", которая полностью стирает данные из памяти компьютера при выключении операционной системы. Это означает, что на компьютере не остается никаких следов, что обеспечивает полную анонимность и конфиденциальность.
Tails можно запускать непосредственно с USB-накопителя или другого внешнего носителя, без необходимости установки на компьютер. Это означает, что вы можете использовать Tails на любом компьютере, не оставляя никаких следов своей деятельности на хост-системе.
Tails сбрасывает все изменения после перезагрузки, это не всегда удобно, поэтому в Tails существует функция “Persistence”.
Функция Persistence в Tails - это способ хранения данных и настроек на отдельном зашифрованном разделе, который отделен от основной операционной системы Tails. Это означает, что даже если вы перезагрузите или выключите Tails, ваши зашифрованные данные и настройки останутся нетронутыми и доступными при следующем использовании Tails.
Функция Persistence особенно полезна для пользователей, которые хотят хранить конфиденциальные данные, такие как закрытые ключи, пароли и другую конфиденциальную информацию, в Tails без риска их потери или раскрытия.
Вот как работает функция Persistence:
При первой загрузке Tails у вас есть возможность создать постоянный том, используя свободное место на флешке. Этот том зашифрован с помощью LUKS (Linux Unified Key Setup), который является широко используемым стандартом шифрования. Вы можете выбрать размер тома в зависимости от ваших потребностей в хранении.
После создания постоянного тома необходимо включить его, выбрав "Yes" при появлении запроса в процессе загрузки. Это позволит смонтировать постоянный том как отдельный раздел, который затем можно использовать для хранения данных и настроек.
Теперь вы можете сохранять данные и настройки на постоянном томе, используя любое из установленных приложений Tails. Например, вы можете сохранять файлы в папке Persistence и приложения. Все сделанные изменения будут сохранены на постоянном томе и будут доступны при следующей загрузке Tails.
Если вам нужно использовать Tails без Persistence, вы можете просто выбрать загрузку Tails без включения Persistence. Это предотвратит сохранение любых данных или настроек в постоянном томе, обеспечивая безопасность и анонимность ваших данных.
Важно отметить, что функция Persistence не является надежной и связана с некоторыми рисками. Например, если кто-то получит доступ к вашему постоянному тому, он сможет получить доступ к вашим зашифрованным данным и настройкам. Поэтому важно убедиться, что ваш постоянный том зашифрован надежным паролем, и принять соответствующие меры для защиты ваших данных.
На Tails так же можно установить VirtualBox благодаря проекту HiddenVM (прочитать про это подробнее можно в моей статье -
Благодаря этому вы можете установить на Tails виртуальные машины и использовать ПО, которое по каким-либо причинам не работает на самой Tails. Стоит учитывать, что виртуальные машины, устанавливаемые таким образом подключаеются к сети напрямую, а не через Tor, поэтому необходимо использовать Whonix, чтобы защитить себя (о нём чуть позже).
По моему опыту Tails является единственной ОС, которая корректно работает в Live режиме, поэтому мы рассматривали только её.
Tails является хорошим выбором, особенно в совокупности с механизмами виртуализации, которые предоставляет проект Hidden VM.
Теперь перейдем ко 2му сценарию, когда вы используете отдельное устройство для работы. Поскольку одним из основных компонентов анонимной, приватной и безопасной системы является виртуализация, то и работать придется из-под виртуальных машин. Для создания связки виртуальных машин, нацеленной на анонимность, приватность и безопасность существует проект Whonix.
Whonix - это операционная система, ориентированная на конфиденциальность, разработанная для обеспечения анонимности и безопасности пользователей в интернете.
Принцип работы Whonix
Whonix - это операционная система на базе виртуальных машин, состоящая из двух виртуальных: Whonix-Gateway и Whonix-Workstation. Whonix-Gateway действует как виртуальный маршрутизатор, а Whonix-Workstation - это виртуальная машина, с которой взаимодействует пользователь.
Когда пользователь запускает Whonix, весь его интернет-трафик направляется через сеть Tor.
Whonix-Gateway отвечает за обработку всех подключений к сети Tor и обеспечивает маршрутизацию всего интернет-трафика через Tor. Whonix-Workstation является виртуальной машиной, с которой взаимодействует пользователь. Whonix-Workstation полностью изолирована от операционной системы хоста, что обеспечивает дополнительный уровень безопасности и конфиденциальности.
Преимущества Whonix
Whonix обеспечивает пользователям высокий уровень анонимности и конфиденциальности, направляя весь интернет-трафик через сеть Tor. Это означает, что деятельность пользователей в Интернете полностью неотслеживаема и анонимна.
Whonix-Workstation полностью изолирована от операционной системы хоста, что обеспечивает дополнительный уровень безопасности и конфиденциальности. Это означает, что любые вредоносные программы или вирусы, которые могут присутствовать в операционной системе хоста, не смогут повлиять на Whonix-Workstation.
Простота в использовании: Несмотря на передовые функции конфиденциальности и безопасности, Whonix проста в использовании и не требует каких-либо продвинутых технических знаний. Пользователям достаточно загрузить и установить операционную систему, и они смогут наслаждаться полной анонимностью и конфиденциальностью.
Whonix имеет открытый исходный код, что означает, что пользователи могут изучить код, чтобы убедиться, что в операционной системе нет бэкдоров или уязвимостей. Это обеспечивает пользователям высокий уровень прозрачности и доверия.
Whonix - отличный выбор для тех, кто хочет защитить свою конфиденциальность и безопасность в интернете.
Поскольку Whonix является связкой 2х виртуальных машин, нетрудно догадаться, что их надо на чем-то запускать, для начала необходимо выбрать средство виртуалзиации для Whonix, у меня есть подробный разбор каждого средства виртуализации -
Если коротко, то на выбор остается 2 средства виртуализации – VirtualBox и Xen (о нём позже)
Начнем с наиболее простого – VirtualBox.
VirtualBox надо запускать на какой-либо ОС, т.н. основной ОС (хост системой), здесь критерии выбора ОС довольно скромные:
1. Простота установки и использования
2. Отсутствие слежки за пользователем
3. Стабильность работы
4. Минимальный набор ПО, чтобы минимизировать поверхность атаки на хост-систему.
5. Основан на Debian/Ubuntu
Выбор здесь довольно небольшой:
1. Debian
2. Pop OS
Лично я рекомендую Debian, поскольку он является эталонным дистрибутивом Linux и имеет минимальный набор ПО, не был замечен в слежке за пользователями и является одной из самых стабильных ОС
Pop OS в этом списке лишь потому, что у неё есть редакция со встроенным проприетарным драйвером NVIDIA, что очень сильно облегчает установку на ПК с видеокартами NVIDIA, так же, она простая и удобная в использовании.
Таким образом выбор основной ОС следующий:
Debian для пользователей, у которых был опыт работы с Linux
Pop OS для новичков и/или тех, у кого ПК с видеокартой NVIDIA
После установки ОС достаточно ввести 2 команды для установки VirtualBox и пака расширений к нему
sudo apt install virtualbox virtualbox-ext-pack
Далее будет небоходимо добавить пользователя в группу vboxusers для корректной работы VirtualBox, делается это командой
sudo usermod -a -G vboxusers $USER
Теперь осталось скачать образ виртуальных машин Whonix с официального сайта и импортировать виртуальные машины в VirtualBox
Ссылка на скачивание Whonix для VirtualBox:
Так же, у меня есть цикл статей, по различным сценариям использования Whonix:
Теперь перейдем к такому средству виртуализации, как Xen, оно используется в операционной системе QubesOS
QubesOS основана на гипервизоре Xen, который представляет собой менеджер виртуальных машин, обеспечивающий высокий уровень безопасности и изоляции. В QubesOS используется уникальная архитектура, основанная на концепции "безопасность путем компартментализации". Это означает, что различные задачи выполняются в отдельных виртуальных машинах, или "доменах", которые изолированы друг от друга для предотвращения любых нарушений безопасности.
Когда пользователь запускает QubesOS, перед ним открывается среда рабочего стола, разделенная на отдельные домены (виртуальные машины). Каждый домен предназначен для выполнения определенной задачи, например, просмотра веб-страниц, электронной почты или рабочих задач. Каждый домен изолирован от других, что означает, что вредоносные программы или вирусы, которые могут присутствовать в одном домене, не смогут повлиять на другие.
QubesOS также включает ряд других функций безопасности, таких как:
QubesOS включает функцию под названием "одноразовые виртуальные машины", которая позволяет пользователям создавать виртуальные машины, которые автоматически сбрасываются к исходному состоянию после их закрытия. Это особенно полезно для задач, требующих не оставлять следов после использования.
QubesOS использует надежное шифрование для обеспечения надлежащей защиты всех данных. Это включает шифрование жесткого диска (LUKS), а также шифрование данных, которые передаются между доменами.
QubesOS обеспечивает пользователям высокий уровень безопасности от онлайн-угроз, таких как вредоносные программы, вирусы и взломы. Разделенная архитектура операционной системы гарантирует, что любые нарушения безопасности будут в пределах одного домена и не смогут распространиться на другие домены (теоретически).
Несмотря на передовые функции безопасности, QubesOS не очень сложная в использовании и не требует каких-либо продвинутых технических знаний. Пользователям достаточно установить операционную систему и сконфигурировать виртуальные машины под свои задачи
Подробнее про QubesOS можно почитать в другой моей статье -
QubesOS имеет открытый исходный код, что означает, что пользователи могут проверять код, чтобы убедиться в отсутствии бэкдоров или уязвимостей в операционной системе. Это обеспечивает пользователям высокий уровень прозрачности и доверия.
В сочетании с Whonix пользователи могут создавать отдельные домены для различных задач, при этом весь интернет-трафик также направляется через сеть Tor через шлюз Whonix. Это обеспечивает пользователям еще более высокий уровень конфиденциальности и безопасности, так как весь тафик виртуальной машины идет через Tor, так же, все обновления системы идут через куб sys-whonix, который заворачивает весь трафик в Tor, на QubesOS так же можно установить полноценную Windows 10, если вам требуется специфическое ПО, которое работает только на Windows, подробнее об этом можно прочитать в данной статье -
QubesOS более привередливая к железу, в отличии от остальных ОС, вы можете посмотреть список того, как различные ПК и ноутбуки работают с QubesOS по следующей ссылке:
Сделаем вывод из всего вышенаписанного:
Идеальный вариант – QubesOS
Более простой вариант – Debian + Whonix
Ещё более простой вариант, если у вас видеокарта NVIDIA – Pop OS (редакция для NVIDIA) + Whonix
При установке все эти ОС предлагают в процессе установки зашифровать системный диск, не забывайте об этом пункте!
Есть ещё более “интересный” вариант для профессионалов (которые вряд ли присутствуют на моей лекции, т.к. и так всё это знают) – собрать Gentoo Hardened на файловой системе ZFS (почитать подробнее про ZFS можно в статье -
Теперь рассмотрим набор ПО (для ПК), которое необходимо для различных задач
Браузер – LibreWolf/Mullvad Browser/Tor Browser (про браузеры есть отдельная статья -
Менеджер паролей – KeePassXC
Биткоин-кошелек – Electrum
Monero-кошелек – официальный кошелек Monero (monero-gui)
Telegram-клиент – здесь ничего придумывать не надо, оптимальным выбором будет официальный десктопный клиент Telegram для Linux с официального сайта (НЕ Snap/Flatpak версии)
XMPP-клиент – рекомендую Gajim, более подробно про XMPP-клиенты можно почитать в статье -
XMPP-клиент для Tails -
В качестве офисного пакета – LibreOffice
В качестве Tox-клиента – qTox
В качестве Matrix-клиента – nheko
Здесь стоит объяснить, почему я рекомендую именно nheko, а не Element
Element использует Electron, в то время как nheko написан на C++
Electron - это фреймворк с открытым исходным кодом, разработанный GitHub, который позволяет разработчикам создавать настольные приложения с использованием веб-технологий, таких как HTML, CSS и JavaScript. Он использует Node.js в качестве среды выполнения для выполнения JavaScript на рабочем столе и Chromium в качестве механизма веб-рендеринга для отображения HTML и CSS.
C++ является компилируемым языком, что означает, что перед выполнением код компилируется в машинный код. Это делает программы на C++ значительно быстрее, чем приложения на Electron, которые интерпретируются во время выполнения. Программы на C++ также более эффективны с точки зрения памяти, так как они не требуют среды выполнения, как Electron.
Программы на C++ могут напрямую взаимодействовать с системными ресурсами, такими как аппаратные устройства и системная память. Этот уровень контроля невозможен в Electron, так как он работает в изолированной среде и не имеет прямого доступа к системным ресурсам.
C++ - это низкоуровневый язык, который дает разработчикам больше контроля над кодом и позволяет проявлять большую гибкость в плане оптимизации производительности и настройки.
Программы на C++ могут быть более безопасными, чем приложения Electron, из-за меньшей поверхности атаки. Electron работает поверх веб-среды выполнения, что может создать уязвимости в безопасности, которых нет в C++
По моему личному опыту программы на Electron не всегда работают стабильно, C++ в этом плане намного лучше
На этом лекция завершена, теперь переходим к 3му пункту лекции
"3. Подберем ПО для специфических задач исходя из запросов пользователей"
Так же, вы можете уже начинать задавать вопросы по теме лекции
На выбор предоставляется 4 типа ОС: Linux-системы, Windows, macOS и BSD-системы, сразу же отбрасываем Windows и macOS, они не будут использоваться в качестве основной системы. Остаются Linux-системы и BSD-системы. Поскольку BSD системы больше пригодны для работы на серверах, а не на домашнем ПК, их мы тоже отбрасываем.
В итоге у нас остается только Linux, но Linux это всего лишь ядро, а ОС на этом ядре очень много, ОС на ядре Linux называются дистрибутивами Linux. Дистрибутивов Linux очень много, ниже я приложу картинку, которая показывает, как сильно разветвлена сеть дистрибутивов Linux.
Среди этого множества дистрибутивов надо выбрать несколько, которые подойдут под различные задачи,
Будем рассматривать 2 сценария использования:
1. Использование Live-дистрибутива, т.е. система запускаться будет с флешки не оставляя следов на ПК.
Из плюсов такого сценария можно выделить портативность (работать можно практически с любого ПК и при этом с собой нужно носить только флешку) и возможность быстрого уничтожения флешки
К минусам можно отнести то, что в таком случае ограничены ресурсы системы, в особенности объем накопителя, так же, флешки выходят из строя быстрее, чем жесткие диски или SSD
2. Использование отдельного устройства для работы. При таком сценарии вы устанавливаете какой-либо дистрибутив Linux (рассмотрим далее какой именно) в качестве основной ОС и работаете с него.
К плюсам такого сценария можно отнести то, что у вас полноценное устройство для работы и нет никаких ограничений.
К минусам то, что такой подход требует отдельного устройства, а его не всегда удобно носить с собой или перевозить куда-либо.
Начнем с 1го варианта, который многим понравится из-за своей простоты и портативности. Здесь выбор очевиден – ОС Tails. Поскольку на лекции присутствуют и начинающие пользователи, то стоит остановиться на том, что вообще из себя представляет Tails и в чем её преимущества
Tails (The Amnesic Incognito Live System) - это бесплатная операционная система с открытым исходным кодом, основанная на Debian Linux. Она может быть запущена с USB-накопителя или SD-карты и разработана таким образом, чтобы не оставлять следов на компьютере, на котором она используется. Tails создана с учетом требований конфиденциальности и анонимности и включает несколько функций безопасности для защиты пользователей от онлайн-слежки, наблюдения и цензуры.
Tails работает путем маршрутизации всего интернет-трафика через сеть Tor, которая является децентрализованной сетью, обеспечивающей анонимное общение. Tor шифрует и передает данные через ряд узлов, управляемых пользователями по всему миру, что делает практически невозможным отслеживание вашей активности в интернете.
Более подробно про сеть Tor можно почитать в моей статье -
Пожалуйста Войдите или Зарегистрируйтесь чтобы видеть скрытые ссылки.
Tails также включает в себя несколько других функций обеспечения конфиденциальности и безопасности, таких как:
Tails поставляется с предустановленным различнвм ПО, например с ПО для очистки метаданных файлов (Metadata Cleaner), менеджер паролей KeePassXC, GPG и т.д.
В Tails есть функция "безопасного удаления", которая полностью стирает данные из памяти компьютера при выключении операционной системы. Это означает, что на компьютере не остается никаких следов, что обеспечивает полную анонимность и конфиденциальность.
Tails можно запускать непосредственно с USB-накопителя или другого внешнего носителя, без необходимости установки на компьютер. Это означает, что вы можете использовать Tails на любом компьютере, не оставляя никаких следов своей деятельности на хост-системе.
Tails сбрасывает все изменения после перезагрузки, это не всегда удобно, поэтому в Tails существует функция “Persistence”.
Функция Persistence в Tails - это способ хранения данных и настроек на отдельном зашифрованном разделе, который отделен от основной операционной системы Tails. Это означает, что даже если вы перезагрузите или выключите Tails, ваши зашифрованные данные и настройки останутся нетронутыми и доступными при следующем использовании Tails.
Функция Persistence особенно полезна для пользователей, которые хотят хранить конфиденциальные данные, такие как закрытые ключи, пароли и другую конфиденциальную информацию, в Tails без риска их потери или раскрытия.
Вот как работает функция Persistence:
При первой загрузке Tails у вас есть возможность создать постоянный том, используя свободное место на флешке. Этот том зашифрован с помощью LUKS (Linux Unified Key Setup), который является широко используемым стандартом шифрования. Вы можете выбрать размер тома в зависимости от ваших потребностей в хранении.
После создания постоянного тома необходимо включить его, выбрав "Yes" при появлении запроса в процессе загрузки. Это позволит смонтировать постоянный том как отдельный раздел, который затем можно использовать для хранения данных и настроек.
Теперь вы можете сохранять данные и настройки на постоянном томе, используя любое из установленных приложений Tails. Например, вы можете сохранять файлы в папке Persistence и приложения. Все сделанные изменения будут сохранены на постоянном томе и будут доступны при следующей загрузке Tails.
Если вам нужно использовать Tails без Persistence, вы можете просто выбрать загрузку Tails без включения Persistence. Это предотвратит сохранение любых данных или настроек в постоянном томе, обеспечивая безопасность и анонимность ваших данных.
Важно отметить, что функция Persistence не является надежной и связана с некоторыми рисками. Например, если кто-то получит доступ к вашему постоянному тому, он сможет получить доступ к вашим зашифрованным данным и настройкам. Поэтому важно убедиться, что ваш постоянный том зашифрован надежным паролем, и принять соответствующие меры для защиты ваших данных.
На Tails так же можно установить VirtualBox благодаря проекту HiddenVM (прочитать про это подробнее можно в моей статье -
Пожалуйста Войдите или Зарегистрируйтесь чтобы видеть скрытые ссылки.
)Благодаря этому вы можете установить на Tails виртуальные машины и использовать ПО, которое по каким-либо причинам не работает на самой Tails. Стоит учитывать, что виртуальные машины, устанавливаемые таким образом подключаеются к сети напрямую, а не через Tor, поэтому необходимо использовать Whonix, чтобы защитить себя (о нём чуть позже).
По моему опыту Tails является единственной ОС, которая корректно работает в Live режиме, поэтому мы рассматривали только её.
Tails является хорошим выбором, особенно в совокупности с механизмами виртуализации, которые предоставляет проект Hidden VM.
Теперь перейдем ко 2му сценарию, когда вы используете отдельное устройство для работы. Поскольку одним из основных компонентов анонимной, приватной и безопасной системы является виртуализация, то и работать придется из-под виртуальных машин. Для создания связки виртуальных машин, нацеленной на анонимность, приватность и безопасность существует проект Whonix.
Whonix - это операционная система, ориентированная на конфиденциальность, разработанная для обеспечения анонимности и безопасности пользователей в интернете.
Принцип работы Whonix
Whonix - это операционная система на базе виртуальных машин, состоящая из двух виртуальных: Whonix-Gateway и Whonix-Workstation. Whonix-Gateway действует как виртуальный маршрутизатор, а Whonix-Workstation - это виртуальная машина, с которой взаимодействует пользователь.
Когда пользователь запускает Whonix, весь его интернет-трафик направляется через сеть Tor.
Whonix-Gateway отвечает за обработку всех подключений к сети Tor и обеспечивает маршрутизацию всего интернет-трафика через Tor. Whonix-Workstation является виртуальной машиной, с которой взаимодействует пользователь. Whonix-Workstation полностью изолирована от операционной системы хоста, что обеспечивает дополнительный уровень безопасности и конфиденциальности.
Преимущества Whonix
Whonix обеспечивает пользователям высокий уровень анонимности и конфиденциальности, направляя весь интернет-трафик через сеть Tor. Это означает, что деятельность пользователей в Интернете полностью неотслеживаема и анонимна.
Whonix-Workstation полностью изолирована от операционной системы хоста, что обеспечивает дополнительный уровень безопасности и конфиденциальности. Это означает, что любые вредоносные программы или вирусы, которые могут присутствовать в операционной системе хоста, не смогут повлиять на Whonix-Workstation.
Простота в использовании: Несмотря на передовые функции конфиденциальности и безопасности, Whonix проста в использовании и не требует каких-либо продвинутых технических знаний. Пользователям достаточно загрузить и установить операционную систему, и они смогут наслаждаться полной анонимностью и конфиденциальностью.
Whonix имеет открытый исходный код, что означает, что пользователи могут изучить код, чтобы убедиться, что в операционной системе нет бэкдоров или уязвимостей. Это обеспечивает пользователям высокий уровень прозрачности и доверия.
Whonix - отличный выбор для тех, кто хочет защитить свою конфиденциальность и безопасность в интернете.
Поскольку Whonix является связкой 2х виртуальных машин, нетрудно догадаться, что их надо на чем-то запускать, для начала необходимо выбрать средство виртуалзиации для Whonix, у меня есть подробный разбор каждого средства виртуализации -
Пожалуйста Войдите или Зарегистрируйтесь чтобы видеть скрытые ссылки.
Если коротко, то на выбор остается 2 средства виртуализации – VirtualBox и Xen (о нём позже)
Начнем с наиболее простого – VirtualBox.
VirtualBox надо запускать на какой-либо ОС, т.н. основной ОС (хост системой), здесь критерии выбора ОС довольно скромные:
1. Простота установки и использования
2. Отсутствие слежки за пользователем
3. Стабильность работы
4. Минимальный набор ПО, чтобы минимизировать поверхность атаки на хост-систему.
5. Основан на Debian/Ubuntu
Выбор здесь довольно небольшой:
1. Debian
2. Pop OS
Лично я рекомендую Debian, поскольку он является эталонным дистрибутивом Linux и имеет минимальный набор ПО, не был замечен в слежке за пользователями и является одной из самых стабильных ОС
Pop OS в этом списке лишь потому, что у неё есть редакция со встроенным проприетарным драйвером NVIDIA, что очень сильно облегчает установку на ПК с видеокартами NVIDIA, так же, она простая и удобная в использовании.
Таким образом выбор основной ОС следующий:
Debian для пользователей, у которых был опыт работы с Linux
Pop OS для новичков и/или тех, у кого ПК с видеокартой NVIDIA
После установки ОС достаточно ввести 2 команды для установки VirtualBox и пака расширений к нему
sudo apt install virtualbox virtualbox-ext-pack
Далее будет небоходимо добавить пользователя в группу vboxusers для корректной работы VirtualBox, делается это командой
sudo usermod -a -G vboxusers $USER
Теперь осталось скачать образ виртуальных машин Whonix с официального сайта и импортировать виртуальные машины в VirtualBox
Ссылка на скачивание Whonix для VirtualBox:
Пожалуйста Войдите или Зарегистрируйтесь чтобы видеть скрытые ссылки.
Так же, у меня есть цикл статей, по различным сценариям использования Whonix:
Пожалуйста Войдите или Зарегистрируйтесь чтобы видеть скрытые ссылки.
Пожалуйста Войдите или Зарегистрируйтесь чтобы видеть скрытые ссылки.
Пожалуйста Войдите или Зарегистрируйтесь чтобы видеть скрытые ссылки.
Теперь перейдем к такому средству виртуализации, как Xen, оно используется в операционной системе QubesOS
QubesOS основана на гипервизоре Xen, который представляет собой менеджер виртуальных машин, обеспечивающий высокий уровень безопасности и изоляции. В QubesOS используется уникальная архитектура, основанная на концепции "безопасность путем компартментализации". Это означает, что различные задачи выполняются в отдельных виртуальных машинах, или "доменах", которые изолированы друг от друга для предотвращения любых нарушений безопасности.
Когда пользователь запускает QubesOS, перед ним открывается среда рабочего стола, разделенная на отдельные домены (виртуальные машины). Каждый домен предназначен для выполнения определенной задачи, например, просмотра веб-страниц, электронной почты или рабочих задач. Каждый домен изолирован от других, что означает, что вредоносные программы или вирусы, которые могут присутствовать в одном домене, не смогут повлиять на другие.
QubesOS также включает ряд других функций безопасности, таких как:
QubesOS включает функцию под названием "одноразовые виртуальные машины", которая позволяет пользователям создавать виртуальные машины, которые автоматически сбрасываются к исходному состоянию после их закрытия. Это особенно полезно для задач, требующих не оставлять следов после использования.
QubesOS использует надежное шифрование для обеспечения надлежащей защиты всех данных. Это включает шифрование жесткого диска (LUKS), а также шифрование данных, которые передаются между доменами.
QubesOS обеспечивает пользователям высокий уровень безопасности от онлайн-угроз, таких как вредоносные программы, вирусы и взломы. Разделенная архитектура операционной системы гарантирует, что любые нарушения безопасности будут в пределах одного домена и не смогут распространиться на другие домены (теоретически).
Несмотря на передовые функции безопасности, QubesOS не очень сложная в использовании и не требует каких-либо продвинутых технических знаний. Пользователям достаточно установить операционную систему и сконфигурировать виртуальные машины под свои задачи
Подробнее про QubesOS можно почитать в другой моей статье -
Пожалуйста Войдите или Зарегистрируйтесь чтобы видеть скрытые ссылки.
QubesOS имеет открытый исходный код, что означает, что пользователи могут проверять код, чтобы убедиться в отсутствии бэкдоров или уязвимостей в операционной системе. Это обеспечивает пользователям высокий уровень прозрачности и доверия.
В сочетании с Whonix пользователи могут создавать отдельные домены для различных задач, при этом весь интернет-трафик также направляется через сеть Tor через шлюз Whonix. Это обеспечивает пользователям еще более высокий уровень конфиденциальности и безопасности, так как весь тафик виртуальной машины идет через Tor, так же, все обновления системы идут через куб sys-whonix, который заворачивает весь трафик в Tor, на QubesOS так же можно установить полноценную Windows 10, если вам требуется специфическое ПО, которое работает только на Windows, подробнее об этом можно прочитать в данной статье -
Пожалуйста Войдите или Зарегистрируйтесь чтобы видеть скрытые ссылки.
QubesOS более привередливая к железу, в отличии от остальных ОС, вы можете посмотреть список того, как различные ПК и ноутбуки работают с QubesOS по следующей ссылке:
Пожалуйста Войдите или Зарегистрируйтесь чтобы видеть скрытые ссылки.
Сделаем вывод из всего вышенаписанного:
Идеальный вариант – QubesOS
Более простой вариант – Debian + Whonix
Ещё более простой вариант, если у вас видеокарта NVIDIA – Pop OS (редакция для NVIDIA) + Whonix
При установке все эти ОС предлагают в процессе установки зашифровать системный диск, не забывайте об этом пункте!
Есть ещё более “интересный” вариант для профессионалов (которые вряд ли присутствуют на моей лекции, т.к. и так всё это знают) – собрать Gentoo Hardened на файловой системе ZFS (почитать подробнее про ZFS можно в статье -
Пожалуйста Войдите или Зарегистрируйтесь чтобы видеть скрытые ссылки.
), чтоб получить более стойкое шифрование, по сравнению с LUKS, так же, там используется более легковесная и безопасная подсистема инициализации OpenRC (во всех вышеперечисленных дистрибутивах используется systemd, про проблемы systemd и её альтернативы вы можете почитать в статье -
Пожалуйста Войдите или Зарегистрируйтесь чтобы видеть скрытые ссылки.
), но такое решение требует высокого уровня технических знаний для правильной настройки Gentoo, а так же высокого уровня производительности в мультипоточных задачах для быстрой компиляции всех пакетов Gentoo, этот вариант я добавил в список просто для ознакомленияТеперь рассмотрим набор ПО (для ПК), которое необходимо для различных задач
Браузер – LibreWolf/Mullvad Browser/Tor Browser (про браузеры есть отдельная статья -
Пожалуйста Войдите или Зарегистрируйтесь чтобы видеть скрытые ссылки.
)Менеджер паролей – KeePassXC
Биткоин-кошелек – Electrum
Monero-кошелек – официальный кошелек Monero (monero-gui)
Telegram-клиент – здесь ничего придумывать не надо, оптимальным выбором будет официальный десктопный клиент Telegram для Linux с официального сайта (НЕ Snap/Flatpak версии)
XMPP-клиент – рекомендую Gajim, более подробно про XMPP-клиенты можно почитать в статье -
Пожалуйста Войдите или Зарегистрируйтесь чтобы видеть скрытые ссылки.
XMPP-клиент для Tails -
Пожалуйста Войдите или Зарегистрируйтесь чтобы видеть скрытые ссылки.
В качестве офисного пакета – LibreOffice
В качестве Tox-клиента – qTox
В качестве Matrix-клиента – nheko
Здесь стоит объяснить, почему я рекомендую именно nheko, а не Element
Element использует Electron, в то время как nheko написан на C++
Electron - это фреймворк с открытым исходным кодом, разработанный GitHub, который позволяет разработчикам создавать настольные приложения с использованием веб-технологий, таких как HTML, CSS и JavaScript. Он использует Node.js в качестве среды выполнения для выполнения JavaScript на рабочем столе и Chromium в качестве механизма веб-рендеринга для отображения HTML и CSS.
C++ является компилируемым языком, что означает, что перед выполнением код компилируется в машинный код. Это делает программы на C++ значительно быстрее, чем приложения на Electron, которые интерпретируются во время выполнения. Программы на C++ также более эффективны с точки зрения памяти, так как они не требуют среды выполнения, как Electron.
Программы на C++ могут напрямую взаимодействовать с системными ресурсами, такими как аппаратные устройства и системная память. Этот уровень контроля невозможен в Electron, так как он работает в изолированной среде и не имеет прямого доступа к системным ресурсам.
C++ - это низкоуровневый язык, который дает разработчикам больше контроля над кодом и позволяет проявлять большую гибкость в плане оптимизации производительности и настройки.
Программы на C++ могут быть более безопасными, чем приложения Electron, из-за меньшей поверхности атаки. Electron работает поверх веб-среды выполнения, что может создать уязвимости в безопасности, которых нет в C++
По моему личному опыту программы на Electron не всегда работают стабильно, C++ в этом плане намного лучше
На этом лекция завершена, теперь переходим к 3му пункту лекции
"3. Подберем ПО для специфических задач исходя из запросов пользователей"
Так же, вы можете уже начинать задавать вопросы по теме лекции
