用虚拟机匿名吧!(6) ——关于匿名的FAQ

2015/05/03
系列前几篇都是在说用虚拟机匿名的具体操作,这次就来解答一下常见的问题吧:

问:你曾经提到过一个webRTC IP泄漏问题[1],虚拟机能否解决这个问题呢?

答:完全可以。webRTC泄漏IP的实质是STUN协议工作时,浏览器绕过代理设置与STUN服务器直接通信,从而导致IP泄漏;而使用虚拟机匿名时,不管是单虚拟机还是多虚拟机,虚拟机内的翻墙用浏览器都没有任何办法绕过代理设置,自然就不会泄漏IP了。

问:为什么要折腾虚拟机呢?直接设置代理不好吗?就算是担心flash插件泄漏IP,那安装VPN或者直接禁用插件也行啊

答: 虚拟机的好处有很多,不泄漏真实IP只是其中之一,还有以下好处呢:1,虚拟机的guest os可以很方便的导入导出,如果你想要更换电脑,那么可以先导出虚拟系统,然后再在新系统里导入虚拟系统,这样就可以马上继续使用。如果一直是在host os中翻墙,那么还得重新安装好所需要的软件,而且还得重新进行自定义设置,真是麻烦至极啊。

2,虚拟机可以拿来对付那些难以取代的国 产软件,例如QQ和迅雷之类。只要把这些国产软件扔到一个干净的虚拟机里,就不用担心个人资料被它们窃取了!同时,如果想要在QQ上发表“煽动颠覆国家政 权”的言论,只要按照我在系列前几篇[2]里的方法进行设置,就不用担心被查水表了。当然,你需要从注册QQ号开始就挂着代理。

3,有时诸位会看上一个小游戏程序或者是电子书程序,但是又不确定是否安全,那就把程序放在虚拟机里运行吧!即使中了木马,也不会威胁到主机。

4,很多人都在为清理系统垃圾发愁,如果使用虚拟机就没这个烦恼了。每次使用之前都做一个备份,使用完之后就回退到备份时的状态,这样自然不会留下垃圾,同时也可以用来对付网页挂马:如果不小心中了木马,那只要回退到没中木马的备份状态即可。

5,我推荐诸位使用Linux系统,但是Linux系统和win系统差别太大了,内核完全不同,一不小心就会误操作,如果Linux系统是主系统那就傻逼了:)所以,还是先在虚拟机里练练手吧!做好备份,不小心误操作了之后回退到备份状态就OK了!

怎么样,心动了吗?赶快去www.virtualbox.org下载吧,开源免费有简体中文哦!

问:VPN不是也可以全局代理吗?为什么还要使用虚拟机来防止IP泄漏呢?

答:默认情况下VPN的确是全局代理的(修改系统路由表),但是别忘了,VPN本身也是安装在系统内的软件,那些国产流氓还是能够绕过VPN直接联网的,webRTC IP泄漏事件中浏览器也绕过了VPN。所以,靠VPN保证IP不泄露其实根本是不靠谱的。

还 有一点,VPN本身并不是为了匿名而生的,匿名程度远远赶不上Tor,只有一个跳板容易被逆向追踪不说而且你也无法保证你的上网行为不被VPN服务提供商 记录下来,特别是国产VPN就更谈不上靠谱,不少人都反映国产VPN屏蔽了一些“反动网站”,而且都无法作为Tor的前置代理[3]。被监控的翻墙,还叫 翻墙吗?

问:你对于host os和guest os的操作系统选择有什么建议吗?

答:我建议host os换成Linux系统,推荐Debian发行版。诸位应该听说了微软这货最近的舔菊“事迹”了:最近微软宣布与360和企鹅(Linux的Logo就是 企鹅,真是令人不快的巧合啊)合作[4],用户升级到最新的win10时会被预装360和QQ,这可真是大灾难啊!微软为了中国市场,只会越来越软,还是 抛弃windows吧!至于mac os,那更不在我的考虑之内,烂苹果早就把icloud用户数据给了电信了[5],不值得信任!

这样 看来,只有Linux操作系统值得信任了:完全开源免费,不被任何一家大公司独占,系统是全世界人民的,特别是安装软件非常方便,只需要一个sudo apt-get install(接下来输入软件名)命令或者在synaptic(中文名新立得)软件包管理器找到想要的软件即可搞定,他妈比windows爽了N倍啊! 卸载也很方便,只需要来一个sudo apt-get purge(软件名)或者sudo apt-get autoremove(软件名)就能彻底卸载。至于系统更新呢,sudo apt-get dist-upgrade直接搞定!再也不需要费劲google想要的软件然后千辛万苦的下载下来外加还要手动校验文件完整性了,apt-get install时系统自动就会进行检验,软件包管理器也一样。

什么?你问我Debian完整版怎么没有杀软或防火墙?我说,哪有针对Linux系统的病毒木马啊,要什么杀软?至于防火墙,iptables命令就是防火墙啊!

不 过呢,Linux有很多发行版(内核相同,其他组件不同),而且很不幸的是有发行版被党国染指了:红旗和麒麟,被党国染指的发行版自然是不能用滴!而 ubuntu这种由商业公司维护的发行版,虽说是最适合小白的,但我并不推荐,因为商业公司在隐私保护方面是比不上开源社区的。

Debian比起ubuntu的使用门槛要稍微高一些,但是总的来说门槛还是很低,更重要的是Debian长期由很大的开源社区维护,非常强调自由软件传统(debian里的软件都是自由软件),对于一个自由软件的爱好者来说真是不容错过啊!敬请访问Debian官网https://www.debian.org/下载最新版Debian8.0吧,如果使用中碰到了问题,那么就去官网查看文档吧,非常详细,顺便练习英语:)

唠叨了一大堆host os,接下来就聊聊guest os:guest os的操作系统选择取决于你打算用guest os干什么。

如果是对付难以取代的国产流氓,那自然是非windows莫属(听说QQ和360都出了Linux版,天啊,这两个流氓连纯洁的Linux都不肯放过啊!),直接随便找个windows镜像安装即可,推荐使用winxp,win7和win8都太消耗资源了。

如 果是拿来运行只有windows版的翻墙软件(自由门无界赛风和一些自带客户端的VPN),就像Whonix-Gateway一样当一个网关(翻墙虚拟 机),那自然还是要安装windows,此时就推荐win7及以上系统。有人反映winxp下最新版赛风三的设置界面无法正常打开,显示为一个空白IE页 面,我亲自测试之后发现确实如此,而且也没有好的解决方案:( 不过呢,也可以安装Linux,Linux下有一个很强大的软件叫做wine,实质上是个windows虚拟机,可以用来运行exe程序(Linux系统 与windows的内核完全不同,所以无法直接运行windows特有的exe格式文件),不过不是所有exe都能运行成功。

如果是拿来 翻墙的,那还是非Linux莫属,还是推荐Debian发行版,或者直接使用Tails[6]或Whonix[7],免去了额外设置的麻烦。注意,如果 Debian是guest os的操作系统,那么此时即使把网络连接模式设置为host-only,guest os还是可以直接联网的(这里很奇怪,理论上来说host-only模式从原理上保证了guest os无法直接联网,但是我测试发现系统为debian的guest os的确是能直接联网的,而windows就不行),所以必须要像Whonix那样设置为内部网络模式才行,具体设置请参考Whonix。

问:可以在host os中安装国产软件吗?

答: 绝对不可以!host os是可以知道guest os在干什么的,也就是说一旦host os中安装了国产流氓或中了木马,那你的匿名防线就全线崩溃了!国产流氓完全可以记录你的键盘输入或者是存储在内存中待发送的“煽动颠覆国家政权”言论, 然后发送到党国服务器上,这样你就只能等着被茶水表了。最近就有人怀疑google hosts失效速度很快是因为360捣鬼:360扫描所有用户文件,发现hosts内容“不正常”之后就复制hosts并发送给GFW,然后GFW的走狗 们就把对应IP列入黑名单中。请所有装着360翻墙的人记住:GFW的军功章有你们的一半!

反过来guest os就无法知道host os的任何信息,所以guest os里随便装国产流氓,不过也建议装有国产流氓的guest不要和host os共享剪贴板和文件夹,就算是要共享,也绝不能在共享文件夹里放敏感文件。

问:我搞定了虚拟机(或者直接使用Tails或Whonix),请问还需要做其他什么吗?

答:首先,请把host os和guest os里的天朝证书都请出去,CNNIC的名声我想已经够臭了,就不用多废话了,至于请出去的方法请看https://plus.google.com/109790703964908675921/posts/TzsdGi9NZQw ,Linux下直接进浏览器设置里删除证书即可(对iceweasel和Chromium都有效,Tor Browser只能先取消隐私浏览模式再删除证书)。

然后,如果guest os是windows系统,那还是有必要安装一个靠谱的杀软的(当然也可以完全依赖备份,不安装任何安全软件),推荐ESET小红伞AVAST这些,反正别是国产。

对 于翻墙虚拟机,浏览器建议Tor Browser,当然也可以用iceweasel或Chromium,然后安装上以下保护隐私和提升安全系数的扩 展:disconnect,PrivacyBadger,HTTPSEverywere,ublock,adblock plus,NoScript或ScriptSafe,伪装user-agent的扩展,默认禁止第三方cookie或者使用cookie白名单,开启do not track,搜索使用disconnect扩展或startpage或duckduckgo等保护隐私的搜索引擎,建议禁止所有插件,这样最大限度减少网 站的追踪。

这样网络层面的匿名就基本完成了,接下来就要靠自己别不小心说漏嘴或者把虚拟帐号和真实身份关联了。

扯了一大堆,如果还有问题请随便提,我会尽力解答的:)

科普文链接集合:https://plus.google.com/+GhostAssassin/posts/a8aKzvZLsuV

参考资料:
1,破坏匿名的凶手——WebRTC
https://plus.google.com/109790703964908675921/posts/1KjRdwo3jid
2,用虚拟机匿名吧!(1) ——不让IP泄露,host-only!
http://www.atgfw.org/2015/04/1-iphost-only.html
3,VPN翻墙,不安全的加密,不要相信墙内公司
https://plus.google.com/109790703964908675921/posts/AXgoJutf5sz
4,http://cn.engadget.com/2015/03/18/microsoft-tencent-360-windows-10-collaboration/
5,http://softu.cn/2005
6,用虚拟机匿名吧!(2) ——专门为匿名而生的操作系统Tails!
http://www.atgfw.org/2015/04/2-tails.html
7,用虚拟机匿名吧!(3) ——为了匿名而生的双虚拟机Whonix!
http://www.atgfw.org/2015/04/3-whonix.html

Related Posts