Whonix

Whonix 是双虚拟机隔离匿名操作系统 — 一个以安全为重点的操作系统，作为两个虚拟机并排运行：一个工作站虚拟机，你在其中做实际工作，以及一个网关虚拟机，处理所有 Tor 路由。工作站从未看到公共互联网 — 它只能与网关通信，网关再通过 Tor 路由。评为 Grade A，因为 Whonix 占据了一个结构上独特的信任姿态：即使你的应用程序、浏览器或操作系统本身被攻破，它们也无法泄露你的真实 IP，因为它们无法访问知道你真实 IP 的网络。最佳搭配 Qubes OS 以获得最严格的持久化匿名设置；Tails 是针对不同威胁模型的临时遗忘替代方案。

Background. Whonix 由 Patrick Schleizer（化名：adrelanos）于 2012 年创建，并由 Whonix Project 和贡献者团队持续维护。以 VirtualBox 镜像、KVM 镜像形式分发，并作为 Qubes OS 内部的规范匿名层（Qubes Project 本身推荐 Whonix）。基于 GPLv3 开源；代码库位于 github.com/Whonix。资金来源于捐赠和过去的 Open Tech Fund 拨款；团队已经抵制了会损害隐私优先原则的商业产品化。Whonix 设计的威胁模型非常复杂：不仅仅是「ISP 级别监控」（Tor Browser 可以解决），而是「应用程序级别攻破」 — 如果你的浏览器有零日漏洞，如果你的 PDF 阅读器通过嵌入式 JavaScript 小部件泄露了你的 IP，如果操作系统本身被恶意软件感染怎么办？Whonix 的隔离意味着这些攻破无法泄露你的 IP，因为被攻破的软件无法发现它。

What you trust. 网络隔离 — 工作站虚拟机没有直接的网络访问；它有一个仅连接到网关虚拟机的虚拟网络适配器。即使工作站上的 root 访问也无法绕过这一点，因为虚拟网络没有通往公共互联网的路由。在网关处处理 Tor — 工作站的流量全部在网关层强制通过 Tor 路由；任何应用程序都不能退出。流隔离 — 到不同目的地的连接自动使用不同的 Tor 回路（因此浏览器标签页泄露不会去匿名化一个单独的电子邮件会话）。加固的默认设置 — Whonix-Workstation 内置加固的 Tor Browser、AppArmor 配置、沙盒化应用程序、加固的内核参数。可复现构建 — Whonix 发布可从源代码复现；构建过程有文档记录且可验证。上游是 Debian + Tor + Kicksecure — 操作系统构建在 Debian（经过良好审计的基础）、Tor（规范匿名网络）和 Kicksecure（Whonix Project 的加固 Debian 配套发行版）之上。你不信任的：主机操作系统 — Whonix 在主机（你的 VirtualBox/KVM 主机）之上作为虚拟机运行。如果主机被攻破，Whonix 的隔离可能被绕过（主机级恶意软件可以看到工作站的屏幕、按键、文件）。为获得最强姿态，在 Qubes OS 上运行 Whonix（每个虚拟机由 hypervisor 隔离，消除主机信任假设）。

Operational specs. 平台：VirtualBox（跨主机：macOS、Windows、Linux）；KVM（Linux 原生）；Qubes OS 的规范匿名层（Qubes-Whonix）。虚拟机模型：Whonix-Gateway（运行 Tor，暴露本地网络接口）+ Whonix-Workstation（你的实际桌面环境，仅与 Gateway 通信）。资源需求：最低 4GB RAM，推荐 8GB；两个虚拟机合计 100GB 磁盘空间；64 位 CPU 带虚拟化扩展。工作站环境：XFCE 桌面（轻量级、可加固），预装 Tor Browser、Thunderbird 配合 Enigmail、OnionShare、KeePassXC 以及其他隐私工具。更新：通过 Whonix 软件包系统管理；更新通过 Tor 路由（网关的更新路径在可用时使用 onion 服务）。持久化：与 Tails（默认遗忘）不同，Whonix 是持久化的 — 工作站上保存的文件在重启后持久保留。这是多天工作流的特性，对需要默认遗忘的用户来说是权衡（使用 Tails）。多工作站：你可以并排运行多个工作站虚拟机，每个具有不同的身份上下文，全部通过同一个网关路由。时间模糊化：Whonix 略微随机化系统时钟以防止基于时间的指纹识别。MAC 地址随机化：启动时，工作站生成一个随机的虚拟 MAC。

Philosophy. Whonix 的编辑差异化特点是结构化隔离方法来实现匿名性。Tor Browser 将反去匿名化逻辑放入单个应用程序中（应用程序是你的信任攻击面）。Tails 将其扩展到整个操作系统，具有默认遗忘的存储。Whonix 进一步扩展：操作系统隔离为两个虚拟机，应用层无法访问知道你 IP 的网络，失败模式从「此应用程序泄露了你的 IP」转变为「hypervisor 或主机被攻破」 — 一个结构上更难的攻击。代价是：操作复杂性。你管理两个虚拟机而非一个，在它们之间平衡内存，小心处理剪贴板共享。对于应用层攻破是可信攻击向量的威胁模型 — 复杂的新闻调查、高监控区域的行动主义、长期运行的匿名基础设施 — 复杂性是合理的。对于日常浏览隐私，仅 Tor Browser 就足够了。

Grade rationale. Grade A 基于：13+ 年的运营连续性（自 2012 年起）；开源 GPLv3 代码库；记录在案的可复现构建；构建在 Debian + Tor + Kicksecure 之上（经过良好审计的上游）；结构化网络隔离（工作站无法直接访问互联网）；Qubes OS Project 推荐的规范匿名层；跨应用程序的流隔离；加固的默认设置（AppArmor、内核参数）；适用于多天工作流的持久化存储；用于身份上下文隔离的多个工作站虚拟机；具名维护者（Patrick Schleizer / adrelanos）具有公开身份和信誉记录；被 Privacy Guides 和 web3privacy 同行目录收录。Tor onion 镜像位于 dds6qkxpwdeubwucdiaord2xgbbeyds25rbsgr73tbfpqpt4a6vjwsyd.onion。最后验证于 2026-05-13。

Useful when. 你正在运行持久化匿名基础设施 — 一个长期运行的 .onion 服务、一个匿名研究工作流、一个多天调查 — 在这些情况下，Tails 的默认遗忘会丢失你的工作。你处于应用层攻破是可信攻击向量的威胁模型中（复杂的新闻调查、行动主义、反监控研究）。你已经在运行 Qubes OS 并想要规范的匿名层 Qubes-Whonix 集成。你想要跨应用程序的流隔离，使一个程序的泄露不会去匿名化另一个。你正在测试或开发匿名工具，想要一个受控环境来验证它们。你想要通过并排运行多个工作站虚拟机（一个用于个人匿名身份，一个用于新闻工作，一个用于行动主义等）共享一个网关来进行身份隔离。你不满足于单一应用程序级匿名（Tor Browser），想要操作系统级网络隔离。

Caveats. 比 Tor Browser 或 Tails 更重的设置 — 需要 VirtualBox 或 KVM，需要理解双虚拟机架构，需要管理虚拟机资源。如果是从「只需安装 Tor Browser」过来，Whonix 在复杂性上是重大的升级。主机操作系统是薄弱环节 — Whonix 的隔离防范应用程序级攻破，但运行 VirtualBox 的主机操作系统（macOS、Windows、Linux）可以看到虚拟机中的一切。为获得最强姿态，在 Qubes OS 上运行 Whonix，其中 hypervisor 隔离使主机不再那么令人担忧。性能开销 — 运行两个虚拟机比单操作系统更重；在低端笔记本上你能感受到。推荐 8GB+ RAM 和 SSD 以获得舒适的体验。持久化对某些用例是选择加入，对其他则是关闭 — 与 Tails 不同，Whonix 默认持久化文件；如果你需要特定会话的默认遗忘，可以使用 Whonix-Live（Whonix 的遗忘模式）或关闭并从干净快照恢复。VirtualBox 需要非平凡的主机信任 — Oracle 的 VirtualBox 历史上存在过漏洞；对于最严格的威胁模型，请改用 KVM（Linux 原生）或 Qubes OS（基于 Xen）。无移动端 — Whonix 是桌面独占；移动用户应使用 Tor Browser for Android，或 Orbot + 加固的 Android 发行版如 GrapheneOS。初始下载较大 — 虚拟机镜像各约 1-2GB；在慢速连接上首次安装耗时较长。不防护物理访问威胁 — Whonix 仅为软件；如果你的笔记本电脑被查封且虚拟机未锁定，数据可读。配合全盘加密（VeraCrypt 或系统 FDE）以获得物理访问保护。更新需要关注 — 像任何操作系统一样，Whonix 需要定期安全更新；停留在旧版本意味着停留在旧的 Tor + 旧的 Debian + 旧的浏览器，所有这些都是真实的攻击面。