2016年5月15日星期日

Whonix系列教程[1]: 如何下载、安装并让Whonix联网

1 如何下载、安装并让Whonix联网

Whonix系列教程[1]: 如何下载、安装并让Whonix联网

文章目录

  1. 如何下载、校验Whonix
  2. 如何安装Whonix
  3. 如何在大陆地区让Whonix联网

1. 如何下载、校验Whonix

1.1 下载Whonix镜像

首先去Whonix的官网下载对应操作系统的Whonix文件。需要注意,“Whonix-Gateway-X.ova”和“Whonix-Workstation-X.ova”(X表示版本号)这两个文件,都要下载下来。

1.2 校验完整性

接下来我们要校验下载的两个文件的完整性,请注意这一步必须要做,因为如果下载的文件本身都存在问题,你就不可能通过它获得期望中的稳定性、安全性和隐匿性。下面二翔子以在Windows操作系统下的操作为例,给大家介绍一下,如果你的洋文不错,也可以自己看这里的官方教程。

1.2.1 下载Gpg4win

Gpg4win是GnuPG的windows版本,咱们可以进入到其官网的这个页面,点击那个最大的绿色按钮将其下载下来,其安装包的名称大概是“gpg4win-版本号.exe”。

1.2.2 校验、安装Gpg4win

安装之前,咱们还要先校验Gpg4win安装包本身的完整性,方法很简单,在那个“gpg4win-版本号.exe”的文件上单击右键--属性--数字签名--详细信息,看到“此数字签名正常”的字样,你就可以放心的安装了。注意,如果其显示“数字签名不正常”或者根本没有看到数字签名这一项,那么你必须将其删除并重新下载。

1.2.3 下载、导入Whonix Signing Key

对于这一步,Whonix官网同样给出了详细的教程。由于Whonix官网本身的问题,二翔子目前没办法将其翻译成中文,所以把过程直接写在下面。

首先,打开这个页面,单击右键--另存为,将Whonix Signing Key下载下来。

然后打开之前安装好的Kleopatra,单击“Import Certificates”,选择下载好的Whonix Signing Key导入,也就是那个默认叫“patrick.asc”的文件。

1.2.4 认证Whonix Signing Key

现在咱们虽然导入了Whonix Signing Key,但它被归在了Kleopatra的“Other Certificates”类。现在我们要拿自己的OpenPGP key去认证它,将其归为“Trusted Certificates”类。

创建自己的“OpenPGP key”的大致步骤如下:打开Kleopatra -> 点击File -> 点击New Certificate,之后按照引导,一步一步的填写即可,如果不太懂的话,可以在搜索引擎查找相关的教程,限于篇幅,二翔子这里不再做过多介绍。(实际上如何创建一个“完美”的OpenPGP key,里面学问很大,大家如果感兴趣,二翔子之后会单写一篇博文来介绍。)

创建好自己的“OpenPGP key”后,我们在Kleopatra的“Other Certificates”类中找到Whonix Signing Key,在其上面单击右键--“Certificate Details”,如果此时你看到的信息(尤其是Fingerprint那项),与下面相符,才可以进行下一步的操作,否则就要按1.2.3小节的介绍重新下载之:

This ertificate is currently valid.
User-ID:    Patrick Schleizer <adrelanos@riseup.net>
Validity:   from 2014-01-17 06:57 through 2021-04-17 22:01  
Certificate type:   4,096-bit RSA
Certificate usage:  Signing EMails and Files, Encrypting EMails and Files, Certifying other Certificates, Authenticate against Servers
Key-ID: EEACCDA
Fingerprint:    916B8D99C38EAF5E8ADC7A2A8D66066A2EEACCDA

现在咱们关掉这个“Certificate Details”界面,还是在Whonix Signing Key上面单击右键--选择“Certify Certificate”,之后完成步骤引导:

  1. 在Step1将两个需要打勾的地方打勾,就可以点击NEXT了;
  2. 在Step2要选择“Certify only for myself”,然后点击Certify
  3. 这时会要求输入你自己的OpenPGP密钥的密码;

密码输入之后,该证书就会成为"trusted certificates"啦。

(衷心感谢热心的Hyde同学对本小节的贡献。)

1.2.5 下载OpenPGP Signature

与“Whonix Signing Key”不同,“OpenPGP Signature”需要咱们在下载了不同的Whonix版本的镜像后,都下载其所对应的“OpenPGP Signature”。其下载地址在这里,注意“Whonix-Gateway”和“Whonix-Workstation”分别对应一个不同的OpenPGP签名,要都下载下来。

1.2.6 校验Whonix镜像

终于万事俱备,咱们可以开始校验刚才下载好的那两个“.ova”的文件的完整性了:)

同样还是打开“Kleopatra”,点击“File”,点击“Decrypt/Verify Files...”,选择上一小节下载好的OpenPGP签名(名称大致为“Whonix-Gateway-版本号.ova.asc”)。

然后在“Signed data”处选择这个签名所对应的镜像文件。

最后点击“Decrypt/Verify”按钮,等上一小会儿,校验的结果就会出来了。如果其是绿底黑字的写着“Signature is valid.”,那么恭喜你,你这个文件是完整的。高兴的同时别忘了把另外一个镜像的完整性也校验了:)

2. 如何安装Whonix

2.1 选择哪款虚拟化软件?

如果你的宿主系统是Windows,那么建议你用Virtualbox(以下简称Vbox)作为虚拟化软件,这是因为Whonix官方明确表示在Windows平台下只支持Vbox,而不支持VMware等其他虚拟化软件。

2.2 将Whonix导入到Vbox中

  1. 直接双击你前面已经下载好的那两个“.ova”文件;如果没有任何反应,那么请尝试:手动打开Vbox--点击“管理”--选择“导入虚拟电脑”--选择刚才下载好的那两个“.ova”文件--点击“下一步”;
  2. 此时出现“虚拟电脑导入设置”的对话框,点击导入;
  3. 对于弹出的协议选择“同意”。

2.3 需要改动Whonix在Vbox中的默认配置吗?

使用Whonix有一条小原则:如果你不清楚你对配置的改动会带来怎样的后果,那么最好就不要改动。这是因为对Whonix的种种修改(比如改变了网卡类型、调整了Tor Browser的窗口大小等)可能会使得你的匿名程度受损。

但这里说一下,你可以根据自己的需要,在Vbox中改变Whonix虚拟机的内存大小和处理器数量——这几乎不会对你的匿名性造成影响。

3. 如何在大陆地区让Whonix联网

很多同学在尝试使用Whonix的时候都发现一个要命问题,由于Tor在大陆网络环境下受到了审查,导致Whonix根本没办法直接联网。别着急,请看下面的教程。

3.1 三种实现方法的比较

让Whonix联网主要有三种方法,为了更直观的比较每种方法的优缺点,二翔子制作了如下表格:

翻墙软件安装位置 翻墙网关机 Whonix-Gateway 宿主系统
翻墙软件的漏洞/后门至少会威胁到 翻墙网关机 Whonix-Gateway 宿主系统及所有虚拟机
翻墙软件的漏洞/后门可能造成的后果 较轻微 未经Tor客户端加密的原始流量被获取 用户一切操作被监控/记录
消耗系统资源(如:CPU/内存/硬盘空间) 较多 非常少 非常少

限于篇幅,这里二翔子只介绍这三者中最为安全的——“安装翻墙网关机”的方法。因为既然你选择使用Whonix操作系统,安全性可能是你更关心的问题。

3.2 安装“翻墙网关机”

所谓“翻墙网关机”,就是说新创建一个虚拟机,这个虚拟机的最重要的作用就是帮助Whonix-Gateway中的Tor绕过大陆地区的Tor审查。

这个虚拟机,大家可以考虑使用Windows操作系统,不是因为Windows比Unix-like的操作系统更加安全,而是因为当前许多的翻墙软件只支持Windows平台。

虚拟机的创建过程,二翔子就不仔细介绍了,还不太清楚怎么做的同学,可以看编程随想的这个系列教程

3.3 虚拟网卡的配置

创建好崭新的“翻墙网关机”之后,我们需要对它的虚拟网卡进行配置。

3.3.1 在Vbox中的配置

  1. 打开Vbox,翻墙网关机最好处于关机状态;
  2. 选中翻墙网关机--点击“设置”(也就是那个齿轮按钮)--点击“网络”;
  3. 在网卡1的“连接方式”中,选择“网络地址转换(NAT)”;
  4. 切换到网卡2,在“连接方式”中,选择“内部网络”;
  5. 如果你之前已经导入了Whonix虚拟机,那么此时的“界面名称”中应该有一个“Whonix”的选项,选则它;
  6. 点击“确定”,完成配置。

这部分二翔子本来在准备的时候已经截好了图,但后来觉得实在没有放上来的必要,为什么?因为在Vbox中的翻墙网关机的两张网卡配置和Whonix-Gateway的一模一样,如果哪位同学没看明白上述步骤,不妨参考Whonix-G的网络配置:)

3.3.2 在“网络和共享中心”中的配置

配置好Vbox部分的设置,我们现在打开“翻墙网关机”。

以Windows为例,我们打开其中的“控制面板”--点击“查看网络状态和任务”,来到“网络和共享中心”(如图)

3.3.2.1 网卡1

点击“以太网”(即上图红圈部分)--点击“属性”--双击“Internet协议版本4(TCP/IPv4)”,看到如下截图:

如图所示,IP地址最后1位可以是3到254间的任意一个数字,其他配置可以直接照着截图上的填写。

3.3.2.2 网卡2

点击“以太网2”(即上上图红圈部分)--点击“属性”--双击“Internet协议版本4(TCP/IPv4)”,看到如下截图:

这里需要说明一下:IP地址的前3位,按理说是需要查看一下Whonix-Gateway的网卡是怎么设置的,当前情况下你应该填写“10.152.152”,但保不齐之后随着Whonix升级,其地址有变(毕竟之前已经变动过一次了)。IP地址的最后1位,可以是2到254间任意一个数字。填好这个IP地址后,请将其记录下来,因为之后在修改torrc文件的时候会用上。

另外,截图中没有填写的部分,你也不要填:)

3.4 翻墙通道的配置

3.4.1 安装翻墙软件

网卡都配置好以后,我们就可以在“翻墙网关机”中安装翻墙软件了:)

提前说一句,常见的翻墙软件有两种:代理软件和VPN。由于二者的技术原理不同,在稍后的配置中会有一点点不同。

3.4.2 安装并配置Privoxy

安装好翻墙软件后,我们还要在同一台虚拟机中安装代理转发软件Privoxy,其下载地址在这里,中文教程在这里。当然,不去看教程,完全按二翔子说的做也是没问题的。

安装好Privoxy后,我们打开它,在菜单栏中点击“Option”--选择“Edit Main Configuration”。在打开的这个有超多行的文件中的最后面,另起一行,先写入下面这一行:

listen-address 0.0.0.0:8118

其中的“8118”,也可以改为其他数字(只要那个端口没被占用),但请记住它,因为一会儿修改torrc文件时要用

3.4.2.1 如果用VPN翻墙

如果你是通过VPN翻墙,那么恭喜你,你现在就可以把上面提到的那个“有超多行的文件”保存,关掉,然后直接跳到3.5小节了。

3.4.2.2 如果用代理软件翻墙

如果你是通过代理软件翻墙,那么还需要在那个“有超多行的文件”最后面,再多加上一行,具体这行内容如何,与你代理软件开启的绑定地址、监听端口号及监听端口类型有关,下面举两个例子:

假设你使用的代理软件是Lantern,其默认开启一个绑定在127.0.0.1:8787的HTTP端口,那么你就加上这么一行,并保存:

forward / 127.0.0.1:8787

假设你使用的代理软件是赛风3,通过查看日志你发现其有一个监听在127.0.0.1:8080并使用SOCKS4协议的端口,那么你就加上这么一行(注意那个“.”不能丢),并保存:

forward-socks4 / 127.0.0.1:8080 .

3.5 修改Whonix-Gateway的torrc文件

以上就是“翻墙网关机”的全部配置步骤,现在我们打开Whonix-Gateway。

在其桌面上双击“Tor User Config”图标,提示你输入管理员密码,Whonix的默认密码为:

changeme

在打开的torrc文件的最后面,另起一行,填写如下并保存:

HTTPSProxy 10.152.152.64:8118

需要注意,此处的“10.152.152.64:8118”正是前面两处(3.3.2.2和3.4.2)二翔子希望大家记下来的数字的组合,忘了的同学赶紧回去查一下自己当初填的都是啥:)

至此,我们就实现了Whonix在Tor受到审查地区的联网,赶紧重启一下Whonix-Gateway试一试吧:)


版权声明

知识共享许可协议
本作品采用知识共享署名-非商业性使用-相同方式共享 3.0 未本地化版本许可协议进行许可。

31 条评论:

  1. 回复
    1. To 音业
      多谢音业同学的支持:)

      删除
  2. 三虚拟机太慢,没法用。。。。

    回复删除
    回复
    1. To 匿名
      请问你所说的“太慢”是指哪方面的慢?比如:是网速慢,还是电脑相应的速度?

      如果是指网速太慢,建议你考虑换一个比较快的前置代理,或者换一个网络环境。

      如果是指“电脑很卡”,那么建议你对虚拟机进行一些优化。
      顺便说一句,Whonix开发者已经考虑到双虚拟机(再加上宿主系统)比较消耗配置的问题,所以对两个Whonix虚拟机进行了不少优化,比如:把内存和显存都设置的很低、“非Qubes-Whonix”基于32位而非64位的Debian等等。因此如果你之前只试过3个Windows系统的虚拟机,而感到“很卡”,不妨再尝试一下本文中的介绍。

      希望能帮助到你:)

      删除
  3. 这边你都回复了,怎么邮件不回

    回复删除
    回复
    1. To 匿名
      实在抱歉。二翔子刚才已经把邮箱中的邮件都做了回复,你可以看一下有没有回复你:)

      另外,希望二翔子没有打消你的交流热情:)

      删除
  4. 求教大神,我Whonix成功安装在VirtualBox上了,但是我用Shadowsocks翻墙的;现在不知道怎样设置才能让Whonix上网,求指导啊!!!

    回复删除
    回复
    1. To Unknown
      别着急,这个很容易:)

      二翔子在本文中(3.4.1)是以Lantern作为翻墙软件举例的,它默认监听在127.0.0.1:8787;
      而你使用的是Shadowsocks,所以你只需要将本文中所有提到“127.0.0.1:8787”的地方,都换成你Shadowsocks的监听端口就好了;
      至于如何知道你Shadowsocks的监听端口号,请打开Shadowsocks,在配置界面应该就有显示了(但那一项的名称不一定就叫“监听端口”,但应该大同小异的)。

      如果你还有哪里没明白,可以继续在评论区问二翔子,二翔子非常乐意帮助你:)

      删除
    2. 我也是Shadowsocks翻墙,但是一直设置不成功,求详细的设置指点!!!

      删除
  5. 回复
    1. To 匿名
      非常抱歉,最近收到的邮件比较多,二翔子有时时间不太够用,可能过比较久才能回复(但目前做到了每一封都回复)。

      另外,如果你的问题不涉及的隐私,不妨发在评论区中,这样你的问题不但可能会被其他热心的同学回答,而且会有更多的同学从问题的答案中受益:)

      删除
  6. 按照阁下所说步骤校验文件,无论是否创建自己的密钥,只要点击信任证书,ownertrust这里都会显示full,但已信任证书标签下并未有此证书,具体操作过程,我已截图并邮件发送到阁下邮箱中,阁下如有时间,还望阁下能继续指教,万分感谢!

    回复删除
    回复
    1. To 匿名
      你好:)
      二翔子已经在你给二翔子发邮件的当天回复过你了,请查收:)

      删除
  7. 风格和小随差不多https://program-think.blogspot.com/ 经藏见道你

    回复删除
    回复
    1. To QoS
      随想君对二翔子的影响很大,所以二翔子的风格上有点像Ta实属正常:)

      删除
  8. 回复
    1. To 匿名
      感谢催更。二翔子最近发表博文的频率确实下降了,不过二翔子一直都在努力的学习和了解,以便今后写出更多、更好的博文献给大家:)

      删除
  9. 6月和7月的文章到现在也没有,还有我的邮件也没回

    回复删除
    回复
    1. To 匿名
      感谢催更。二翔子最近发表博文的频率确实下降了,不过二翔子一直都在努力的学习和了解,以便今后写出更多、更好的博文献给大家:)

      删除
  10. 请问能出视屏教学么 不懂的地方好多。。。

    回复删除
    回复
    1. To 匿名
      非常抱歉,相比于文字+图片的博文,视频的信息密太低,二翔子目前不会考虑。
      不妨详细的描述下你遇到的问题?

      删除
  11. 请问能出视屏教学么 实在找不到那两个以太网卡 怎么设置。。。

    回复删除
    回复
    1. To 匿名
      非常抱歉,相比于文字+图片的博文,视频的信息密太低,二翔子目前不会考虑。
      不妨详细的描述下你遇到的问题?

      删除
  12. vmware虚拟机的防火墙设置,能不能写篇指导文章?

    回复删除
    回复
    1. To 匿名
      你是指vmware运行的虚拟机的防火墙设置吗?其设置与该操作系统在实体机中的设置非常相似,你不妨不妨参考下相关的教程?

      删除
  13. 翔哥你好!:)本人想普及一下Linux翻墙知识。请你能不能聊一聊Linux如何在安全的层次上做成翻墙的网脑等相关的一系列的配置,包括必备软件的选择。不知翔哥是否感兴趣?小白的到来是巩固翻墙技术的春风!等待回复哦!

    回复删除
    回复
    1. To 匿名
      这一系列问题如果让大多数人都掌握非常困难。
      所以二翔子才选择介绍已经由安全人员定制好的发行版,比如此次的Whonix操作系统。

      删除
  14. 我发的帖子被吞了!

    回复删除
    回复
    1. To 匿名
      二翔子已经将所有被误判的帖子都恢复出来了:)

      删除
  15. Tor Circuit: not established
    Bootstrapping 80 % done. Tor reports: WARN BOOTSTRAP PROGRESS=80 TAG=conn_or SUMMARY="Connecting to the Tor network" WARNING="No route to host" REASON=NOROUTE COUNT=28 RECOMMENDATION=warn HOSTID="B6446D847F7C12C15F4529DC1EC76996FF68848F" HOSTADDR="80.82.66.233:9001"
    Possible issues:
    - Is the host's internet connection working?
    - Whonix-Gateway will need a few moments for bootstrapping the Tor network.
    - Do you live in a censored area?
    按照您的步骤操作了 但是还是出现这个问题 是哪里设置的不对吗

    回复删除
    回复
    1. To 匿名
      如果进度已经到达80%,应该证明实际上你已经绕过了审查。

      如果使用的是Whonix,那么一种可能是:Whonix的WhoixCheck设置尝试联网的时间有限(大概为2分钟),如果此后没有完全连接成功则放弃连接。考虑到大陆网络环境恶劣,你连接到Tor网络的时间可能超出2分钟,因此报错。

      解决的办法也比较简单,在报错后重新运行WhonixCheck,这一次尝试连接的时间应该就会比较短,不会超出限定的2分钟超时:)

      删除