身在中国该如何安全地运营一个网站:反监视基础工具整理
本文整理了一些反监视自我保护入门工具,希望能帮助到身处中国(或身在海外但仍有回国可能)的站长们。如需深入了解,请查阅本文末尾的参考资源。
敬请注意,保持匿名和安全不仅仅是一个技术问题。没有任何工具足以保证你的安全。匿名是一个复杂的问题,没有一个简单的解决方案。任何薄弱环节都会让你的安全措施功亏一篑。你知道的越多,你就越安全。
设备
加密你的硬盘
如果计算机被物理访问,即使设置了系统登录密码,硬盘内的未加密数据仍可被获取。对于您的笔记本电脑或台式机,可以使用操作系统的自带软件加密硬盘。
- FileVault for MacOS
- Windows BitLocker – 仅 Windows Professional 版本可用
- Android
操作系统
一个独立的操作系统可以为敏感操作提供安全的环境,这样您可以匿名,不留痕迹地使用软件,这些软件无法轻易获取您的真实设备型号和IP地址。一切与你的网站相关的操作都应在这个隔离环境中执行。
- Whonix 是一个完整的虚拟机(VM)镜像中的操作系统,它可以在你当前的操作系统(Windows 或 macOS)内运行。虚拟机中的所有互联网流量将通过Tor网络传输。在Whonix上的任何流量必须强行经过Tor,故此Whonix比普通的Tor浏览器更安全,防止IP泄漏和DNS泄漏。这也可以让Tor代理安装在Whonix上的任何软件。安装Whonix后,请记住只能在Whonix-Workstation-XFCE里面进行任何和你的网站相关的敏感操作。
- Tails 操作系统可以安装在 USB 移动存储设备上,或在虚拟机中运行。虚拟机中的所有互联网流量将通过Tor网络传输。你需要做的仅仅是使用项目文件创建一个可启动的光盘或 U 盘,然后用它们启动电脑即可,一切都预先设置好了。
站长应避免使用个人移动设备管理或访问自己的网站。
浏览器
如果不使用上述虚拟机环境,而在当前的操作系统操作,推荐以下浏览器:
浏览器的选择
- Mozilla Firefox:一个快速、可靠、开源且尊重用户隐私的浏览器。注意:不要使用中国区的 Firefox。下载页面域名应为
mozilla.org
而不是firefox.com.cn
- Brave:Brave 会自动封锁广告与追踪器,基于 Chromium。
- Tor 浏览器:如果你需要额外的匿名层保护,则 Tor 浏览器就是最佳的选项。它是利用火狐浏览器作进一步的调配,其事先预设安装好了一些隐私保护的附加组件、加密与高级的代理器。
浏览器拓展
- 安裝隐私保护附加组件,包括Privacy Badger、 uBlock Origin 与 Disconnect。
测试浏览器
- WebRTC 漏洞测试 – WebRTC 是一种通讯协议,其依靠 JavaScript 程序,可能泄露 VPN 用户真实的 IP 地址。Chrome 浏览器下无法完全取消 WebRTC,但可以透过扩展 uBlock Origin(勾选 “Prevent WebRTC from leaking local IP addresses”)变更其路由设定。
- DNS Leak Test
密码管理
随机生成强密码并安全地存储它们,每一项服务使用的用户名和密码都应保持不同。
翻墙工具
请不要使用任何机场或商业VPN服务。90%的VPN网站在跟踪记录你的一举一动。位于中国运营的机场也已屡屡发生运营者被逮捕,交出所有用户数据的事件。
更可控的做法是购买一台VPS服务器,自行搭建。
- 如何部署一台抗封锁的Shadowsocks-libev服务器
- 搭建基于Shadowsocks-libev的OutlineVPN服务器
- Whonix Non-bridge Censorship Circumvention Tools
身份隔离
建站全过程需避免提供任何可以追踪到你的个人信息。
Email提供商
为你建站过程中所有需要email注册的服务建立一个独立的email账户。
- ProtonMail – 总部位于瑞士,成立于2013年。免费和付费计划包括所有安全功能,包括端到端加密、零访问加密、反钓鱼、反垃圾邮件和2FA。拥有Android、iOS应用程序和网络界面。付费计划启用自定义域名。可通过Tor网络访问。
- Tutanota – 总部在德国,成立于2011年。提供本地跨平台应用程序。付费计划启用自定义域名。不支持第三方电子邮件客户端,用户需要使用广泛的本地应用程序。
Email转发/别名服务
如果你不想注册一个新的email账户,可以使用别名/匿名电子邮件转发服务来注册一切建站服务,帮助你隐藏真实的邮件地址。
制造分身
Cryptocurrency
避免使用支付网关位于中国的支付方式,如支付宝等。尽量选择使用国际银行卡支付,或者选择支持 Cryptocurrency 作为支付方式的建站服务商
选择网站域名
顶级域(后缀)的选择
不要选择位于中国的域名注册商;不要选择域名注册局位于中国的顶级域,例如 .cn/ .ren /.top /.xin /.wang /.hk /.mo 等(完整列表见IANA Root Zone Database)
一些支持 Cryptocurrency 作为支付方式的域名注册商
选择网站托管服务商
同样,不要选择位于中国的托管服务商,即使服务器位于境外。
一些支持 Cryptocurrency 作为支付方式的服务器托管商
两步验证
如果你的站点控制面板、服务商的控制面板都两步验证功能,请开启它们。
例如,长毛象的两步验证开启页面位于 /settings/two_factor_authentication_methods
两步验证工具
- Aegis Authenticator (Android)
- Raivo OTP (iOS, MacOS)
- andOTP (Android)
- Tofu (iOS)
自我保护
站长自我保护
- 不在基于中国的社交媒体和聊天应用中提及自己的网站,包括微信私聊
- 不在发言中透露自己的任何可识别特征信息,例如城市与地理位置
- 不要轻易点击网站后台中收到的外部链接,例如在注册请求和举报中附带的链接
- 避免使用未部署加密与隔离措施的个人移动设备访问自己的网站
参考资源
- EFF 监视自我防卫手册 (繁体中文)
- 自我人肉 – 如果你想要防御敌人,那么就最好能首先”变成”自己的敌人,通过他们的眼睛来看自己。
- 社交媒体情报应对措施
- 社交媒体情报和反情报基本工具手册
- 您在什么时候需要假名、匿名和公开在线身份?– 在线创建和管理身份的思考方式
- 无处可藏的数字足迹 — 元数据