Whonixのソースを表示

[[Category:仮想化]]
[[en:Whonix]]
[https://www.whonix.org Whonix] はセキュリティとプライバシーの保護に特化したデスクトップオペレーティングシステムです。このページでは Arch ユーザーが Whonix ゲートウェイを使って全ての通信が [[Tor]] を通るようにして、分離によるセキュリティ上のメリットを享受する方法を説明します。

== Whonix と Tor の背景 ==

Whonix では異なる2つの仮想マシンで別々のオペレーティングシステムを実行することでセキュリティを高め、同時に全ての通信が [[Tor]] を経由するように設定します。このセキュリティモデルには [https://www.whonix.org/wiki/Main_Page 複数のメリット] が存在します:

* [[Tor]] 経由の接続のみが許可されます。
* 匿名でインターネットにサーバーを建てたりアプリケーションを使うことができます。
* DNS 漏れが発生しません。
* マルウェアに root 権限を奪われてもユーザーの本当の IP アドレスが露出しません。
* 問題のあるアプリケーションやユーザーによる脅威を最小限にできます。

[https://www.whonix.org/wiki/Comparison_with_Others Whonix の wiki] には分離モデルによって防ぐことができる様々な攻撃やソフトウェアの脆弱性の例が記載されています。分離モデルによって解決できない問題についても解説されているため非常に重要なページです。

Whonix は通常の作業を行う OS である「ワークステーション」と、ワークステーションからの通信を全て Tor を経由させる「ゲートウェイ」から構成されます。

Whonix のメインチームは Debian で動作するゲートウェイとワークステーションを提供していますが、Arch をメインのワークステーション OS として使うことが可能です。このページでは Arch Linux をワークステーションとして使用する方法を説明します。

== Whonix ゲートウェイのダウンロードとインストール ==

日常的な作業でゲートウェイを使うことはありません。ゲートウェイはワークステーションをインターネットから分離して通信を Tor 経由にすることだけ行います。

[https://www.whonix.org/wiki/VirtualBox Whonix の VirtualBox ページ] を開いて "Whonix-Gateway" をダウンロードしてください。ダウンロードしたらダウンロードファイルを検証してください。また、[[VirtualBox]] をインストールしてください。

そして、VirtualBox を開いて ''File > Import Appliance > Whonix-Gateway-<version>.ova'' からダウンロードしたゲートウェイファイルを選択して Whonix を使用するにあたってのシステム要件とセキュリティ事項を記述した条件に同意して Whonix ゲートウェイをインポートしてください。Whonix のダウンロードページに書かれている手順に従うと良いでしょう。インポート手順を説明する [https://www.whonix.org/wiki/Videos 動画チュートリアル] も存在します。

アプライアンスをインストールしたら、起動アイコンを使ってゲートウェイを起動してください。

=== Whonix ゲートウェイのアップデート ===

Arch を起動する前に、規約に同意して Whonix ゲートウェイが常に最新のセキュリティパッチが適用された状態にする必要があります。上記でアプライアンスをインポートしたときに表示される規約に Whonix を実行するときのセキュリティ事項が示されます。ゲートウェイを起動したら、規約に同意して stable リポジトリの使用を選択して "I am ready to enable TOR" にチェックしてください。その後、ターミナルを開いてください。root あるいは通常ユーザーでログインする方法が表示されます。

ターミナルに root でログインして以下のコマンドを実行してください:

 # apt-get update
 # apt-get dist-upgrade

そして Whonix ゲートウェイを再起動してください。再起動後、ターミナルを開いて今度は通常ユーザーでログインしてください。そして whonix のチェックを実行してください:

 $ whonixcheck

arm を起動してゲートウェイの通信を監視することもできます:

 $ arm

== Whonix ワークステーションとして Arch をインストール ==

Whonix ゲートウェイをインストールしたら、ゲートウェイを実行しながら、別の [[VirtualBox]] インスタンスに Arch をインストールしてください。インストール手順は通常の場合と同じで[[インストールガイド]]に従ってください。重要な点だけ以下で説明します。

Arch インスタンスを作成したら、起動する前に必ず行わなければならない3つの設定を行います。まず、ネットワークの接続先を Whonix ゲートウェイに設定します。''Settings > Network > Attached to > Internal Network > Whonix'' を選択して Whonix 経由でインターネットに接続するようにしてください。

また、PAE を有効にすることが好ましいので ''Settings > System > Processor > Extended Features > Enable PAE/NX'' を選択してください。

最後に、''Settings > Storage > Empty > Optical Drive > Choose Virtual Optical Disk File > archlinux-<version>.iso'' から起動ストレージとしてダウンロードした Arch インストール ISO を選択してください。

上記の設定を行ったら VirtualBox の Arch インスタンスを起動してください。

=== Arch インストール時のインターネット接続 ===

Whonix ゲートウェイにプリセットではないワークステーションを接続するときは [https://www.whonix.org/wiki/Ubuntu こちら] に書かれているように手動設定が必要になります。アドレスは 10.152.152.50 に、ネットマスクは 255.255.192.0 に、ゲートウェイは 10.152.152.10 に、ネームサーバーは 10.152.152.10 に設定してください。まずは以下のコマンドを実行して有線インターフェイスを確認してください:

 # ip a

大抵は eth0 や enp0s3 などが有線インターフェイスです。そして、以下のコマンドでインターフェイスを無効化してください ({{ic|''interface''}} はインターフェイスの名前に置き換えてください):

 # ip link set ''interface'' down

そして上記の値を使うように固定ネットワーク接続を設定してください。サンプルファイルをコピーするのが一番簡単です:

 # cp /etc/netctl/examples/ethernet-static /etc/netctl/whonix

ファイルの中身を以下のように置き換えてください ({{ic|enp0s3}} は適切なインターフェイス名に置き換えてください):

{{hc|/etc/netctl/whonix|<nowiki>
Description='Whonix static ethernet connection'
Interface=enp0s3
Connection=ethernet
IP=static
Address=('10.152.152.50/18')
Gateway='10.152.152.10'
</nowiki>}}

{{ic|/18}} はネットマスクの [http://saloperie.com/docs/mask.html CIDR 表記] です。それから {{ic|/etc/resolv.conf}} を編集してください:

{{hc|/etc/resolv.conf|
nameserver 10.152.152.10
}}

{{ic|/etc/environment}} を編集して [https://www.whonix.org/wiki/Tor_Browser/Advanced_Users#Whonix-Custom-Linux-Workstation tor over tor 問題] が起こらないようにしてください:

{{hc|/etc/environment|2=
TOR_SKIP_LAUNCH=1
TOR_NO_DISPLAY_NETWORK_SETTINGS=1
TOR_SKIP_CONTROLPORTTEST=1
}}

設定したら Whonix のネットワーク接続を有効にします:

 # netctl start whonix

その後インターフェイスを立ち上げてください ({{ic|''interface''}} は適切なインターフェイス名に置き換えてください):

 # ip link set ''interface'' up

以下のコマンドで 10.152.152.50/18 アドレスが使われていることを確認してください:

 # ip a

問題なければ、以下のようにウェブサイトに ping してみてください:

 # ping -c3 www.google.com

ping でデータ転送ができれば Whonix 経由のインターネット接続が確立できています。ゲートウェイで {{ic|arm}} を起動すればゲートウェイ経由でパケットが送信されていることを確認できるはずです。

=== 設定ファイルを arch-chroot 環境にコピー ===

インターネット接続が完了したら、通常通りに Arch のインストールを行ってください。pacstrap を実行したら、arch-chroot する前に作成したファイルをコピーしてください:
 
 # cp /etc/netctl/whonix /mnt/etc/netctl/whonix
 # cp /etc/resolv.conf /mnt/etc/resolv.conf
 # cp /etc/environment /mnt/etc/environment

コピーしたら arch-chroot を通常通りに実行してネットワーク設定を有効にしてください:

 # arch-chroot /mnt
 # netctl enable whonix

その後は通常通りにインストールを完了してください。タイムゾーンはゲートウェイに合わせて UTC に設定してください。インストールが完了したら再起動してください。

=== Tor Check ===

インストールが完了したらウェブブラウザをインストールして [https://check.torproject.org/ Tor Check] から Tor 経由で接続していることを確認できます。

== ヒントとテクニック ==

=== Tor Browser のインストール ===

Arch にインストールしたウェブブラウザは強制的に Tor を使って通信するようになり Whonix による分離の利益を享受することができます。[https://check.torproject.org/ Tor Check] や DNS テストを使うことで簡単にテストすることが可能です。

しかしながら、Tor と一緒に使うことができるアドオンやセキュリティ監査が付属した公式の Tor ブラウザを利用しても良いでしょう。Tor ブラウザを使うには [https://www.torproject.org/download/download.html こちら] からブラウザをダウンロードして以下のように {{ic|~/.tb}} に展開してください:

 $ mkdir -p ~/.tb
 $ tar -xf tor-browser-''version''.tar.xz
 $ mv tor-browser_''version'' ~/.tb/tor-browser

Tor Browser をインストールしたら以下のファイルを編集して Whonix ゲートウェイを経由して Tor にアクセスするように設定する必要があります:

{{hc|~/.tb/tor-browser/Browser/TorBrowser/Data/Browser/profile.default/user.js|<nowiki>
user_pref("extensions.torbutton.use_privoxy", false);
user_pref("extensions.torbutton.settings_method", "custom");
user_pref("extensions.torbutton.socks_host", "10.152.152.10");
user_pref("extensions.torbutton.socks_port", 9100);
user_pref("network.proxy.socks", "10.152.152.10");
user_pref("network.proxy.socks_port", 9100);
user_pref("extensions.torbutton.custom.socks_host", "10.152.152.10");
user_pref("extensions.torbutton.custom.socks_port", 9100);
user_pref("extensions.torlauncher.control_host", "10.152.152.10");
user_pref("extensions.torlauncher.control_port", 9052);
</nowiki>}}

設定できたら Tor Browser を起動してください:

 $ cd ~/.tb/tor-browser
 $ ./start-tor-browser.desktop

[https://check.torproject.org/ Tor Check] で Tor と Tor Browser を使っていることを確認できます。

=== DNS 漏れのテスト ===

Tor の外に通信が漏れていないか確認することができるリークテストが複数存在します:

* [https://www.dnsleaktest.com DNS Leak Test]
* [https://dns-leak.com/ DNS Data]
* [http://check2ip.com Check 2 IP]

上記のサービスは位置情報などの識別情報が漏洩していないか確認するのにも役立ちます。

[https://www.whonix.org/wiki/Dev/Leak_Tests Whonix DNS Leak Test Wiki] にはウェブサイトのチェック以外のリークテストも載っています。