本指南面向所有关心自身及伴侣安全的用户。如果您按照以下说明操作，将大大降低被发现的风险。

安全电脑配置

首先，我们需要安装一个免费且安全的 Linux 系统作为主机。

我以前认为在 Windows 系统上启用 VPN 完全安全。但事实并非如此，问题不仅仅在于 IP 地址，甚至浏览器指纹也并非全部。操作系统和应用程序的问题在于，我们无法信任专有代码，它们的唯一目的就是从用户身上赚钱。我建议您放弃 Windows 和 macOS。例如，众所周知，Windows 会在首次启动时将电脑与 Akamai 同步，而据我所知，较新的版本不会在没有账户和网络连接的情况下启动电脑。这是您的设备吗？

任何支持 Live 模式的操作系统都可以，但本指南将使用 Kicksecure。为什么选择 Kicksecure？这是一个开源系统，功能实用，摒弃冗余，稳定高效。在虚拟机中，您可以安全地安装所需的一切。深入了解 Linux，您会发现它包罗万象，而且更加便捷、安全、免费。

安全主机操作系统的主要功能：

内存擦除
Live 模式（所有数据都存储在内存中）
最小软件配置

Kicksecure 安装。

请务必安装最新稳定版本。

您可以在这里找到包含最新信息的官方指南。 - https://www.kicksecure.com/wiki/ISO

打开 BIOS，并在启动队列中优先选择 U 盘。

选择“LIVE 模式 | SYSMAINT 会话 | 系统维护，安装”

Kicksecure ISO GRUB Sysmaint

安装系统：

Kicksecure ISO Install

彻底删除所选驱动器上的数据并加密设备。

您可以在此处选择加密方法 - https://www.kicksecure.com/wiki/Full_Disk_Encryption#TPM_Encryption_Comparison_Table

Kicksecure calamares 分区

安装完成，请关闭电脑

取消勾选 Calamares 重启

Kicksecure ISO 系统维护关闭

断开 U 盘与电脑的连接。
进入“持久模式 | 系统维护会话...”*
更新软件包。
测试实时模式（重启后，磁盘上的新数据将被删除）。

请勿向主机系统上传任何内容！此功能仅用于虚拟机和磁盘解密，以及（可选）用于开源 VPN（Mullvad、V2Ray）。

使用 virt-manager（开源软件）安装 QEMU/KVM

这是 Linux 虚拟化的事实标准。它使用起来最方便，稳定且性能卓越。

KVM

安装虚拟化程序：

sudo apt install libvirt0 virt-manager dnsmasq bridge-utils

sudo systemctl enable -now libvirtd
sudo systemctl disable -now dnsmaq

sudo usermod -a -G libvirt user
sudo usermod -a -G kvm user

接下来，我们将使用 nano 编辑器通过终端快速进行配置。

要保存，只需按 Ctrl+O；要关闭文件，只需按 Ctrl+X。

sudo nano /etc/libvirt/libvirt/conf

unix sock group = "libvirt"
unix sock rw perms = "0770"

sudo nano /etc/libvirt/qemu.conf

group = "libvirt"
user = "user"

应用更改：

systemctl restart libvirtd.service

创建用于存放虚拟机和镜像的文件夹。授予 libvirt 访问这些文件夹的权限。

mkdir ISOs
mkdir VMs.

sudo chmod 770 -R VMs
sudo chmod 770 -R ISOs

sudo chown user:libvirt -R VMs
sudo chown user:libvirt -R ISOs

现在我们只需要创建虚拟机；稍后我会讲解具体操作方法。

设置紧急重启

紧急情况下，留给我们思考的时间非常有限。我们将尽可能简化操作，只需轻触按钮即可清除痕迹并加密设备。

nano reboot.sh

#!/bin/bash

systemctl reboot -i

在labwc中设置快捷键：

mkdir ~/.config/labwc
nano ~/.config/labwc/rc.xml

rc.xml 文件的内容：

<?xml version="1.0"?>
<labwc_config>
    <keyboard>
        <default />
        <keybind key="Control_R" onRelease="no" allowWhenLocked="yes"><action name="Execute" command="/home/user/reboot.sh" /> </keybind>
    </keyboard>
</labwc_config>

重启 labwc 以应用设置

labwc -r

按下右 Ctrl 键进行检查。

设置敏感系统

这将是一个工作系统。采取一切措施，使其存在可以被合理否认。

为此，您需要一块至少 500 GB 的高质量硬盘。必须使用这种硬盘，因为其他硬盘不稳定，可能被用来检测隐藏卷。因此，只有转速为 7200 rpm 的 HDD CMR 才足够可靠且速度快。

下载 VeraCrypt 或 zuluCrypt 的源代码。安装编译所需的库。 https://veracrypt.jp/en/CompilingGuidelineLinux.html https://github.com/mhogomchungu/zuluCrypt/blob/master/BUILD_INSTRUCTIONS

准备好构建所需的一切，阅读说明并查看源代码。

您可以构建应用程序，但请勿运行加密应用程序，以免产生任何日志记录。

所有后续操作必须在 Live 环境中执行！！！

使用 GParted 格式化外部驱动器，确保其上没有任何分区。

运行加密应用程序。开始创建卷。

VeraCrypt 在外部驱动器上创建加密隐藏卷

下一步：

外部（诱饵）- FAT 格式
选择 /dev/sdX（不是运行操作系统的驱动器，而是外部驱动器）
输入虚假卷的密码并对其进行加密。
选择隐藏卷的大小（磁盘的一半）
输入隐藏卷（ext4 格式）的密码，一切就绪。

保护隐藏卷免受外部卷写入造成的损坏

VeraCrypt 隐藏卷

下载适合加密的文件（小于 4GB）

切勿将隐藏卷的密码记录在任何地方。

加密完成后，打开隐藏卷。

下载适用于 KVM 的 Whonix 压缩包 - https://www.whonix.org/wiki/KVM#Download_Whonix

在终端中打开上传压缩文件的文件夹

检查文件内容。

ls -l

检查磁盘的挂载路径；以下步骤将对此进行说明 - <mount_path>

pwd

档案拆封：

tar -xvf Whonix*.libvirt.xz

确认 Whonix 的同意：

touch WHONIX_BINARY_LICENSE_AGREEMENT_accepted

为方便起见，建议重命名文件：

mv Whonix-Gateway-Xfce-17.2.8.5.xml             Whonix-Gateway.xml
mv Whonix-Workstation-Xfce-17.2.8.5.xml         Whonix-Workstation.xml
mv Whonix_external_network-17.2.8.5.xml         Whonix_external_network.xml
mv Whonix_internal_network-17.2.8.5.xml         Whonix_internal_network.xml
mv Whonix-Gateway-Xfce-17.2.8.5.Intel_AMD64.qcow2       Whonix-Gateway.qcow2
mv Whonix-Workstation-Xfce-17.2.8.5.Intel_AMD64.qcow2   Whonix-Workstation.qcow2

检查虚拟机文件的路径，并确保 Whonix-Gateway 已分配 1GB 内存。

nano Whonix-Gateway.xml 
cat Whonix-Gateway.xml

[...]

  <memory dumpCore="off" unit="GiB">1 </memory> <currentMemory unit="GiB">1 </currentMemory>

[...] <disk type="file" device="disk"> <driver name="qemu" type="qcow2"/> <source file="<mount_path>/Whonix-Gateway.qcow2"/> <target dev="vda" bus="virtio"/> <address type="pci" domain="0x0000" bus="0x00" slot="0x06" function="0x0"/> </disk>

[...]

按照此处的说明，向 Whonix-Workstation 添加资源： https://www.whonix.org/wiki/KVM#Adding_vCPUs

我们还会检查文件路径。8GB内存和4个虚拟处理器应该足够了。

nano Whonix-Workstation.xml 
cat Whonix-Workstation.xml

[...]

  <memory dumpCore="off" unit="GiB">8 </memory> <currentMemory unit="GiB">8 </currentMemory>

[...] <vcpu placement="static">4 </vcpu>

[...] <disk type="file" device="disk"> <driver name="qemu" type="qcow2"/> <source file="<mount_path>/Whonix-Gateway.qcow2"/> <target dev="vda" bus="virtio"/> <address type="pci" domain="0x0000" bus="0x00" slot="0x06" function="0x0"/> </disk>

[...]

让我们创建一个 script.sh 文件，以便轻松启动和停止虚拟机。

#!/bin/bash

if [ $(virsh -c qemu:///system list --all | grep Whonix | wc -l) -ne 0 ];
then

    virsh -c qemu:///system destroy Whonix-Gateway
    virsh -c qemu:///system destroy Whonix-Workstation
    virsh -c qemu:///system undefine Whonix-Gateway
    virsh -c qemu:///system undefine Whonix-Workstation
    virsh -c qemu:///system net-destroy Whonix-External
    virsh -c qemu:///system net-destroy Whonix-Internal
    virsh -c qemu:///system net-undefine Whonix-External
    virsh -c qemu:///system net-undefine Whonix-Internal
else

    virsh -c qemu:///system define <mount_path>/Whonix-Gateway.xml
    virsh -c qemu:///system define <mount_path>/Whonix-Workstation.xml
    virsh -c qemu:///system net-define <mount_path>/Whonix_external_network.xml
    virsh -c qemu:///system net-define <mount_path>/Whonix_internal_network.xml
    virsh -c qemu:///system net-autostart Whonix-External
    virsh -c qemu:///system net-start Whonix-External
    virsh -c qemu:///system net-autostart Whonix-Internal
    virsh -c qemu:///system net-start Whonix-Internal
    exit $? 
fi

运行脚本 bash script.sh 来检查一切是否正常。之后，要关闭所有功能，只需再次运行该脚本即可。

Network Whonix-External defined from <mount_path>/Whonix_external_network.xml

Network Whonix-Internal defined from <mount_path>/Whonix_internal_network.xml

Network Whonix-External marked as autostarted

Network Whonix-External started

Network Whonix-Internal marked as autostarted

Network Whonix-Internal started

Domain 'Whonix-Gateway' defined from <mount_path>/Whonix-Gateway.xml

Domain 'Whonix-Workstation' defined from <mount_path>/Whonix-Workstation.xml

如您所见，我们已成功配置虚拟机。

接下来，我们运行图形界面来管理它们。

virt-manager

启动时，选择“持久模式 | SYSMAINT 会话...”并更新所有软件包。重启系统；为了方便起见，您可以使用“REMOVE user-sysmaint-split”命令删除“user-sysmaint”部分。

紧急情况

有人敲门，在门被撞开之前，您只有 5 秒钟的时间按下一个按钮。多加练习，您一定能成功。为了方便起见，您还应该考虑一下在工作场所将电脑放在哪里。

冷启动攻击 RAM

取证专家检查您的内存和硬盘 - 内存为空，硬盘已加密
系统要求您输入磁盘密码，但无需立即输入。
您正在等待法官对密码请求做出裁决。您输入密码，但操作系统和诱饵卷均未泄露任何重要信息。

具体情况很大程度上取决于您所在的国家/地区，但对于我们领域的任何专家来说，这样的设置都是必要的——它能缩小攻击范围，让您有更多时间思考。切勿忽视安全；粗心大意是愚蠢的。为了在未来更加安心，请今天就尽您所能保护自己和身边的人。

应用程序安装

我必须提及在用于处理敏感数据的虚拟机中应该使用的软件。所有应用程序都必须是开源的，以避免数据泄露。不用担心——Linux 生态系统已经非常成熟且高度发达；在这里，您可以找到所需的一切。

我推荐下载以下软件：

KeepassXC - 以压缩和加密格式方便地存储您的密码
OpenSnitch - 可以轻松追踪和过滤应用程序发送的请求
SimpleX 是一款现代化的完全开源的即时通讯软件，可以为您提供隐私、匿名和可信的否认功能
Monero 一真正的加密货币。它最难追踪，手续费低，转账速度也很快。

备份副本

您可能已将系统配置为在您执行某些操作（例如，物理损坏用于身份验证的 USB 驱动器）后，电脑和外部驱动器上的数据将无法恢复。在这种情况下，您需要备份才能恢复您的帐户和资金。

为此，我们需要在 VeraCrypt 中创建一个不超过 10 MB 的加密文件。隐藏卷的大小应为 5 MB。您需要按如下步骤将重要数据（钱包密钥、密码数据库文件）填充到该隐藏卷中：

在容器（例如“日记”）中打开 VeraCrypt 的隐藏卷，以保存重要数据。
保存后，关闭隐藏卷。
打开一个虚拟卷并向其中写入一些内容（否则您将无法证明隐藏卷不存在，因为该虚拟卷的最后更改时间将晚于其他文件）。
关闭虚拟卷（此时您才能开始备份容器）。
将加密容器备份到U盘，并将U盘隐藏在安全且易于查找的地方。高级用户还可以将数据备份到小型匿名服务器上，但务必格外小心，并充分了解自己在做什么。

感谢您的阅读。敬请期待——更多精彩文章即将发布。

Setting up a PC to work