Глава 3. Окончательная настройка Debian и установка Whonix

Вы почти закончили установку Debian! Теперь вам нужно сделать еще несколько шагов. Если вы хотите, можете сделать перерыв и продолжить с этой главы в другое время. Но, если вы готовы, давайте начнем.

1. Во-первых давайте настроим ваше сетевое соединение. По соображениям безопасности лучше всего использовать проводное сетевое соединение. Если сетевой кабель у вас подключен, сетевой менеджер Debian должен автоматически обнаружить его и подключиться к Интернету. Если вы предпочитаете оставаться только с проводным подключением, вы можете перейти к шагу 5. Но если вы предпочитаете использовать беспроводное подключение или используете его во время начальной установки в главах 1 и 2, сделайте щелчок правой кнопкой мыши (или Control-Key + Click, если вы используете Mac) на значке Gnome Network Manager(Сетевой Менеджер Gnome) в правом верхнем углу. Значок Gnome Network Manager будет выглядеть как один из следующих значков:

Затем нажмите “Edit Connections”(Изменить подключения).

Когда откроется окно Network Manager(Сетевой Менеджер) нажмите на вкладку “Wireless”(Беспроводная связь) и нажмите “Add”(Добавить). Если вы настроили беспроводное соединение во время установки, щелкните на существующее беспроводное соединение и выберите “Edit”(Редактировать).

3. Если вы настраиваете беспроводное соединение в первый раз, введите имя для вашего беспроводного соединения в поля “Connection name”(Название соединения) и “SSID”. Затем снимите флажок рядом с “Connect automatically”(Подключаться автоматически). Позволяя компьютеру автоматически подключаться к беспроводному соединению вы даете злоумышленнику возможность нарушить вашу безопасность.

Если вы редактируете существующее соединение, снимите флажок рядом с “Connect automatically”(Подключаться автоматически), нажмите “Save”(Сохранить), закройте окно Connection Manager(Диспетчер подключений) и перейдите к шагу 5.

Затем перейдите на вкладку “Wireless Security”(Безопасность беспроводной сети). Выберите “WPA & WPA2 Personal” для “Security”(Безопасность). Затем введите пароль для вашего маршрутизатора в поле “Password”(Пароль). Затем нажмите “Save”(Сохранить).

Если ваш роутер по-прежнему настроен на использование WEP для обеспечения безопасности, вы должны немедленно исправить это. WEP заведомо небезопасен и часто может быть взломан менее чем за 1 минуту.

Когда вы закончите, нажмите “x” в верхнем углу Gnome Network Manager(Сетевой менеджер Gnome), чтобы закрыть окно. Чтобы подключиться к беспроводному соединению, нажмите на значок Gnome Network Manager(Сетевой менеджер Gnome) в правом верхнем углу и выберите профиль сети, который вы создали.

Затем нажмите “Applications”(Приложения) в верхнем левом углу рабочего стола и выберите “Accessories → Terminal.”

Затем вам нужно предоставить себе привилегии root/administrative для установки дополнительного программного обеспечения. Введите “sudo -i” в командной строке. При запросе пароля введите тот же пароль, который вы выбрали для “user” в шаге 13 главы 1D.

ПРИМЕЧАНИЕ: Всякий раз, когда вы используете эту команду, вы будете иметь полный root/административный доступ, пока не выйдете из сеанса.Таким образом, будьте крайне осторожны в этом сеансе, когда вы решите использовать эту команду. Изменения, вносимые Вами могут быть разрушительными и необратимыми, если вы сделаете что-то неправильно.

ДОПОЛНИТЕЛЬНОЕ ПРИМЕЧАНИЕ:Если вы хотите использовать «копировать и вставить» для ввода команд в Debian Host OS, используйте“CTRL-SHIFT-V”.

Теперь вам нужно установить VirtualBox, Tor и ufw. VirtualBox - это программное обеспечение, которое будет запускать виртуальные машины Whonix. Tor - сильно анонимизирующий прокси-сервис, который позволит вам скачать Whonix анонимно. Ufw - это программное обеспечение, которое настроит правила брандмауэра для вашей ОС. В командной строке введите “apt-get install virtualbox tor ufw” и нажмите “Enter”. На вопрос “you wish to continue”(Вы хотите продолжить?), введите “Y”и нажмите “Enter”.

ВАЖНОЕ ЗАМЕЧАНИЕ:В данном пособии предполагается, что вы живете в юрисдикции, где подключение к Tor-сети не является чем-то, что имеет юридические последствия. Убедитесь, что подключение к сети Tor является законным в вашем регионе. Если вы не уверены, что использование Tor-сети безопасно в вашем регионе, пожалуйста, изучите эту проблему до выполнения этого шага.

8. Теперь мы идем изменять правила брандмауэра для фильтрации ICMP трафика. Это не должно создать для вас никаких проблем и уменьшает возможность потенциальной атаки. Введите “nano /etc/ufw/before.rules” и нажмите “Enter”.

9. На следующем экране нажмите “LEFT-CTRL+W” чтобы открыть поисковый запрос в редакторе. Затем введите “icmp” и нажмите “Enter”.

10. Ваш курсор переместится в строку, содержащую “# ok icmp codes”. Есть 5 записей, которые вам нужно изменить, которые выделены красным цветом ниже.

Введите знак “#” в начале каждой из 5 строк, чтобы закомментировать их. По завершении ваш экран должен выглядеть как на картинке ниже.

11. Теперь сохраните файл и выйдите из Nano. Нажмите “LEFT-CTRL+X” и введите “Y”, когда будет предложено сохранить модифицированные данные.

Затем нажмите “Enter”, когда вам будет предложено выбрать имя файла.

12. Затем включите брандмауэр. Введите “ufw enable” в командной строке и нажмите “Enter”. UFW должен сообщить вам, что он активен. Он будет оставаться активным при каждой перезагрузке.

13. НЕОБЯЗАТЕЛЬНЫЙ ШАГ:Некоторые люди обеспокоены различными уязвимостями протокола IPv6.Если вам не нужен протокол IPv6 для подключения к сети, вы можете отключить его. Если вы хотите отключить протокол IPv6, введите “nano /etc/default/grub” и нажмите “Enter”. Если вы не хотите отключать протокол IPv6, перейдите к шагу 14.

НЕОБЯЗАТЕЛЬНЫЙ ШАГ 13b:Переместите курсор вниз к строке, которая начинается с “GRUB_CMDLINE_LINUX_DEFAULT”. После знака " следующего за знаком = введите “ipv6.disable=1”, чтобы ваш экран выглядел как на изображении ниже.

НЕОБЯЗАТЕЛЬНЫЙ ШАГ 13c: Теперь сохраните файл и выйдите из Nano. Нажмите “LEFT-CTRL+X” и введите “Y”, когда будет предложено сохранить модифицированные данные.

Затем нажмите “Enter”, когда вам будет предложено выбрать имя файла.

НЕОБЯЗАТЕЛЬНЫЙ ШАГ 13d:Затем обновите grub. Введите “update-grub” и нажмите “Enter”.

После перезагрузки компьютера протокол IPv6 будет отключен для использования в будущих сеансах.

14. После того, как вы включили ufw, вам нужно “выйти” из своих root/administrative привилегий.Введите “exit” в командной строке и перейдите к следующему шагу.

15. Затем введите “cd Downloads”, чтобы сменить свой каталог на каталог Downloads(Загрузки). Вы будете скачивать сюда все файлы, связанные с Whonix.

16. Теперь вы будете загружать виртуальную машину Whonix-Gateway. Для загрузки файла вы будете использовать программу под названием “wget”. Если по какой-либо причине соединение прервется, следующая команда продолжит загрузку Whonix-Gateway анонимно через сеть Tor, с места на котором вы остановились. Введите

“torsocks wget -c https://download.whonix.org/13.0.0.1.1/Whonix-Gateway-

13.0.0.1.1.ova” и нажмите “Enter”.

17. Когда вы успешно загрузили Whonix-Gateway, пришло время загрузить

Whonix-Workstation. Введите

“torsocks wget -c https://download.whonix.org/13.0.0.1.1/Whonix-Workstation-

13.0.0.1.1.ova” и нажмите “Enter”.

18. Теперь загрузите контрольные подписи для виртуальных машин Whonix. Они позволят вам проверить, не были ли подделаны виртуальные машины. Во-первых,

загрузите OpenPGP подпись для Whonix Gateway. Введите

“torsocks wget -c https://download.whonix.org/13.0.0.1.1/Whonix-Gateway13.0.0.1.1.ova.asc” и нажмите “Enter”.

19. Затем, загрузите OpenPGP подпись для Whonix Workstation. Введите

“torsocks wget -c https://download.whonix.org/13.0.0.1.1/Whonix-Workstation-

13.0.0.1.1.ova.asc” и нажмите “Enter”.

20. Теперь загрузите ключ подписи Whonix. Введите

“torsocks wget -c https://www.whonix.org/patrick.asc” инажмите “Enter”.

21. Затем проверьте ключ подписи, используя его отпечаток. Введите “gpg --with-fingerprint patrick.asc” инажмите “Enter”.

Когда закончите, ваш экран должен выглядеть так же, как внизу. В частности, вам нужно проверить, что адрес электронной почты adrelanos и связанный с ним отпечаток выглядят так же, как на изображении ниже. В противном случае, у вас неправильная подпись. Загрузите его снова, как описано в шаге 20.

22. Теперь импортируйте ключ подписи разработчика, набрав “gpg --import patrick.asc” и нажав “Enter”.

Когда закончите, ваш экран должен выглядеть примерно так, как показано ниже. Вы можете увидеть несколько различных ошибок или предупреждений. Ни одно из них обычно не имеет никакого значения и, скорее всего, связано с тем, что вы еще не использовали GPG для создания своего собственного ключа. Результат, важный для вас, выделен красным цветом ниже.

23. Затем протестируйте целостность Whonix-Gateway-13.0.0.1.1.ova, набрав:

“gpg --verify-options show-notations --v Whonix-Gateway-*.ova.asc”азатемнажмите “Enter”. Это может занять некоторое время.

Когда проверка будет завершена, ваш экран должен выглядеть так же, как снимок экрана ниже. Если вы видите “gpg: Good signature from "Patrick Schleizer <[email protected]>”” и “gpg: Signature notation: file@name=Whonix-Gateway-13.0.0.1.1.ova” на вашем экране, то вы успешно проверили целостность образа. Предупреждения, которые появляются после этой строки, можно игнорировать. Однако, если вы видите “gpg: BAD signature from "Patrick Schleizer <[email protected]>”” или file@name отличается от “WhonixGateway-13.0.0.1.1.ova”, удалите образ и не используйте его. Это означает, что образ, вероятно, был искажен или поврежден во время процесса загрузки.

Попробуйте загрузить образ позже.

24. Теперь проверьте целостность Whonix-Workstation-13.0.0.1.1.ova, набрав:

“gpg --verify-options show-notations -v Whonix-Workstation-*.ova.asc”азатемнажмите “Enter”. Это может занять некоторое время.

Когда проверка будет завершена, ваш экран должен выглядеть так же, как снимок экрана ниже. Если вы видите “gpg: Good signature from "Patrick Schleizer <[email protected]>”” и “gpg: Signature notation: file@name=Whonix-Workstation-13.0.0.1.1.ova” на вашем экране, то вы успешно проверили целостность образа. Предупреждения, которые появляются после этой строки, можно игнорировать. Однако, если вы видите “gpg: BAD signature from "Patrick Schleizer <[email protected]>”” или file@name отличается от “Whonix-Workstation-13.0.0.1.1.ova”, удалите образ и не используйте его. Это означает, что образ, вероятно, был искажен или поврежден во время процесса загрузки.

Попробуйте загрузить образ позже.

25. Как только вы успешно проверили образы Whonix с помощью GPG, удалите Tor. С этого момента у вас не будет потребности в Tor как службе на вашей Debian host OS. Если по какой-то причине он вам понадобится на вашей Debian host OS, вы всегда можете установить его заново. Введите “sudo apt-get purge tor” и нажмите “Enter”.

26. Когда вам будет предложено ввести пароль, введите тот же пароль, который вы выбрали для “user” на шаге 13 главы 1D. Затем введите “y” и нажмите “Enter”.

Когда закончите, наберите “exit” и нажмите “Enter” или щелкните “x” в верхнем правом углу, чтобы закрыть окно терминала. Терминал вам больше не понадобится.

27. Теперь пришло время импортировать образ Whonix в VirtualBox. Нажмите “Places” в верхнем левом углу и выберите “Downloads”(Загрузки).

28. В открывшемся окне дважды щелкните по файлу “Whonix-Gateway13.0.0.1.1.ova”.

29. VirtualBox откроется автоматически. Далее откроется “Appliance Import Wizard”(Мастер импорта устройств). Нажмите “Import”.

30. Появится окно “Software License Agreement”(Лицензионное соглашение), предоставляющее вам различную информацию, в том числе о том, что делать, если вы намереваетесь запустить Whonix Gateway на системах с низким ОЗУ. Нажмите “Agree”(Принимаю), чтобы продолжить.

31. Когда процесс импорта завершится, сделайте снимок виртуальной машины Whonix Gateway. Это обеспечит вам резервную копию для восстановления в случае возникновения проблем с виртуальной машиной. Нажмите кнопку с надписью “Snapshots”(Снимки) в правом верхнем углу VirtualBox Manager.

32. Щелкните значок, который похож на камеру, расположенную над “Current State”(Текущее состояние).

33. Появится окно “Take a Snapshot of Virtual Machine”(Сделать снимок виртуальной машины). Выберите подходящее название для вашего снимка, или примите значение по умолчанию, и нажмите кнопку “OK”.

33a. [Дополнительный шаг для Apple. Перейдите к шагу 34, если вы не используете компьютер Apple.] Обычным явлением для пользователей Mac с VirtualBox является значение по умолчанию для “Right-Ctrl” в качестве Host Key в VirtualBox. Если вы используете Mac, вы можете изменить это сейчас. В окне VirtualBox Manager, которое сейчас должно отображаться на вашем экране, нажмите “File(Файл) → Preferences(Настройки)”.

33b. [Дополнительный шаг для Apple. Перейдите к шагу 34, если вы не используете компьютер Apple.]В открывшемся окне нажмите на “Input”(Ввод). Затем нажмите на область, где написано “Right-Ctrl”. После того, как вы нажмете на нее, нажмите клавишу, которую вы хотите использовать в качестве Host Key в будущем. Это должна быть клавиша которую вы не используете регулярно. Клавиши “option” будет достаточно. Когда вы изменили Host Key, нажмите кнопку “OK”.

34. Закройте “VirtualBox Manager” и вернитесь в окно, отображающее ваши Загрузки

(Downloads). Настало время установить рабочую станцию Whonix. Дважды щелкните по “WhonixWorkstation-13.0.0.1.1.ova”.

35. Откроется “Appliance Import Wizard”(Мастер импорта устройств). Нажмите “Import”.

36. Появится окно “Software License Agreement”(Лицензионное соглашение), предоставляющее вам различную информацию, в том числе о том, что делать, если вы намереваетесь запустить Whonix Gateway на системах с низким ОЗУ. Нажмите “Agree”(Принимаю), чтобы продолжить.

37. Когда процесс импорта будет завершен, сделайте снимок виртуальной машины Whonix. Это обеспечит вам резервную копию для восстановления в случае возникновения проблем с виртуальной машиной. Нажмите кнопку с надписью “Snapshots”(Снимки) в правом верхнем углу VirtualBox Manager.

38. Щелкните значок, который похож на камеру, расположенную над “Current State”(Текущее состояние).

39. Появится окно “Take a Snapshot of Virtual Machine”(Сделать снимок виртуальной машины). Выберите подходящее название для вашего снимка, или примите значение по умолчанию, и нажмите кнопку “OK”.

40. [НЕОБЯЗАТЕЛЬНЫЙ ШАГ]Для экономии места, вы можете удалить файлы Whonix, которые вы загрузили. Вернитесь в окно “Downloads Folder”(Загрузки) и выберите все файлы. Затем нажмите “Edit”(Редактировать) в левом верхнем углу окна и выберите “Move to Trash”(Переместить в корзину). Если вам не нужно экономить дисковое пространство и вы хотите сохранить образы, закройте окно “Downloads”(Загрузки) и перейдите к шагу 43.

41. [НЕОБЯЗАТЕЛЬНЫЙ ШАГ, ПРОДОЛЖЕНИЕ ШАГА 40]Затем нажмите на значок “Trash”(Корзина) в левом нижнем углу окна “Downloads Folder” и нажмите “Empty Trash”(Очистить корзину).

42. [НЕОБЯЗАТЕЛЬНЫЙ ШАГ, ПРОДОЛЖЕНИЕ ШАГА 41]Когда вас спросят, хотите ли вы “Empty all items from Trash?“(Удалить все элементы из корзины?), нажмите “Empty Trash”(Очистить корзину). Это освободит примерно 4,1 гигабайта пространства на жестком диске.

После того, как вы очистите Корзину, вы можете закрыть окно файлового менеджера.

43. Теперь вы должны настроить несколько параметров в Debian. Нажмите “user” в правом верхнем углу и затем нажмите “System Settings”(Настройки системы).

44. В появившемся окне нажмите “User Accounts”(Учетные записи пользователей).

45. На следующем экране нажмите кнопку “Unlock”(Разблокировать) в правом верхнем углу.

46. Вам будет предложено ввести пароль пользователя. Введите его и нажмите “Authenticate”.

47. Нажмите кнопку, которая находится в положении “OFF” рядом с “Automatic Login”(Автоматический вход в систему). Таким образом мы переключим параметр на позицию “ON”. Это удалит требование ввести пароль пользователя для входа в Debian при загрузке. Поскольку у вас есть зашифрованный жесткий диск с кодовой фразой, дополнительная проверка не обязательна.

48. Затем нажмите на кнопку с квадратами в верхнем левом углу. Это вернет вас на экран основных настроек системы.

49. Затем вам нужно отключить ваши микрофоны. В настоящее время VirtualBox не имеет подходящих настроек. В результате загрузка виртуальной машины может включить ваш микрофон (если он у вас есть), который представляет собой угрозу безопасности. Нажмите на значок “Sound”(Звук) в системных настройках.

50. На следующем экране нажмите на вкладку “Input”(Ввод).

51. Нажмите кнопку “ON/OFF” рядом с панелью Input Volume(Входящий звук). Чтобы отключить устройство, переключите кнопку в положение “OFF”.

52. Нажмите на раскрывающееся меню рядом с надписью “Connector”. Пройдите все перечисленные устройства и установите их все в положение “OFF” как вы делали в шаге 51. Когда вы закончите, закройте окно.

При загрузке любой виртуальной машины в будущем в строке состояния может появиться значок микрофона. В приведенном ниже примере значок отображается в крайнем левом углу. Если есть “x” в углу, он отключен.