即使最近披露国安局正在监听，Tor仍然可能是匿名上网的最佳方式。但要做好这件事，你必须采取一些预防措施。信息安全栈交换的专家们为安全使用Tor提供了指导。

安全界已经知道，像Tor这样多功能的工具很可能是情报机构非常感兴趣的目标。虽然FBI已经承认对Tor恶意软件攻击负责，但SIGINT组织的参与尚未得到证实。2013年10月初，《卫报》发布了“Tor Stokes”（2012年6月），概述了利用网络的当前和拟议战略，消除了任何疑问。

一些要点：

• 从根本上说，Tor是安全的；但是，在某些情况下可以取消匿名化
• “哑用户”总是易受攻击的（内部指定为“EPICFAIL”）
• NSA/GCHQ操作Tor节点
• 各种形式的流量分析似乎是首选的工具

在回顾文献之后，Tor用户应该实施什么样的更改，以最大程度地确保其持续的安全性？

请看这里的原始问题。

安全使用指南（迈克尔·汉普顿回答）

作为一个很长时间的Tor用户，NSA文件中最让我惊讶的部分是他们在Tor方面取得的进展是如此之小。尽管它已知的弱点，它仍然是最好的东西，我们有，只要它的使用得当，你不犯错误。

既然你想要“技术上可行的最大程度”的安全性，我将假设你的威胁是一个资金充足的**，对互联网有显著的可见性或控制，就像对许多Tor用户一样（尽管有警告说Tor不足以保护你不受这样一个行动者的影响）。

考虑一下你是否真的需要这种级别的保护。如果你的活动被发现并没有危及你的生命或自由，那么你可能不需要去所有这些麻烦。但如果真的是这样，那么你绝对必须保持警惕，如果你想继续活着和自由。

我不会在这里重复Tor Project自己的警告，但我会注意到它们只是一个开始，不足以保护您免受此类威胁。

你的电脑

迄今为止，美国****局和联邦调查局对Tor用户的主要攻击是MITM攻击（NSA）和隐藏服务web服务器泄露（FBI），它们要么将跟踪数据发送到Tor用户的计算机，要么泄露，要么两者兼而有之。因此，你需要一个合理的安全系统，从中你可以使用任务大纲，并减少你的风险被跟踪或泄露。

1. 不要使用Windows。别这样。这也意味着不要在Windows上使用torbrowser包。TBB中的软件漏洞在NSA的幻灯片和FBI最近对Freedom Hosting的截取中都占据了显著位置。
2. 如果您不能构建自己的工作站，能够运行Linux，并仔细配置以运行最新可用版本的Tor、代理（如Privoxy）和web浏览器（所有传出的clearnet访问都有防火墙），请考虑改用Tails或Whonix，其中大部分工作是为您完成的。对传出访问设置防火墙是绝对重要的，这样第三方应用程序就不会意外地泄漏有关您位置的数据。
3. 如果您使用的是任何类型的持久存储，请确保它是加密的。当前版本的LUKS相当安全，主要的Linux发行版将在安装期间为您提供设置。TrueCrypt可能是安全的，尽管它没有很好地集成到操作系统中。BitLocker也可能是安全的，尽管你仍然不应该运行Windows。即使你身处一个橡胶软管合法的国家，比如英国，加密你的数据也能保护你免受各种其他威胁。
4. 请记住，您的计算机必须保持最新。无论您是使用Tails还是从头开始构建自己的工作站，还是使用Whonix，都要经常更新以确保您不受最新安全漏洞的影响。理想情况下，您应该在每次开始会话时更新，或者至少每天更新。如果有可用的更新，Tails将在启动时通知您。
5. 非常不愿意在JavaScript、Flash和Java上妥协。默认情况下禁用它们。如果一个网站需要这些，访问其他地方。仅在万不得已的情况下启用脚本，仅临时启用，并且仅在获得网站功能所需的最小范围内启用，您别无选择。
6. 恶意删除网站发送给你的cookies和本地数据。无论是TBB还是Tails都不能满足我的口味；考虑使用诸如自毁Cookies之类的附加组件来将Cookies保持在最低限度。为零。
7. 您的工作站必须是笔记本电脑；它必须足够便携，以便随身携带，并迅速处理或销毁。
8. 不要用谷歌搜索互联网。一个好的选择是开始页；这是TBB、Tails和Whonix的默认搜索引擎。另外，它不会说你恶意或者要求你填写验证码。

你的环境

Tor包含的弱点只能通过物理世界中的行动来缓解。可以查看您的本地Internet连接和您访问的站点的连接的攻击者可以使用统计分析将它们关联起来。

1. 不要在家里或家附近使用Tor。永远不要做任何敏感到需要在家里做的事情，即使你一直处于离线状态。电脑有一个有趣的习惯，喜欢被连接起来。这也适用于您暂时居住的任何地方，如酒店。从不在家里进行这些活动有助于确保它们不会与这些地点联系在一起(请注意，这适用于面临高级持续威胁的人。在家里运行Tor对其他人来说是合理和有用的，尤其是那些自己不做任何事情，但希望通过运行出口节点、中继或网桥来提供帮助的人。
2. 限制在任何一个地方使用Tor的时间。虽然这些关联攻击确实需要一些时间，但理论上它们可以在一天之内完成。虽然jackboots不太可能在你在星巴克开Tor的当天出现，但它们可能会在第二天出现。我建议真正关心的人不要在任何一个物理位置使用Tor超过24小时；在那之后，就把它烧了，去别的地方。这将有助于你即使jackboots六个月后出现；记住一个老客户要比记住一天出现却再也没有回来的人容易得多。这确实意味着你将不得不去更远的地方旅行，特别是如果你不住在大城市，但这将有助于保持你自由旅行的能力。
3. 当你出去进行这些活动时，把**开着放在家里。

你的心态

许多Tor用户因为犯了一个错误而被抓获，比如发布与他们的活动相关的真实电子邮件地址。你必须尽可能避免这种情况，唯一的办法就是小心地进行心理训练。

1. 把你的Tor活动想象成假名，在你的头脑中创建一个虚拟的身份来对应这个活动。这个虚拟的人不认识你，也永远不会遇见你，如果他认识你，他甚至不会喜欢你。他必须保持严格的精神隔离。
2. 如果必须使用公共互联网服务，请为此假名创建全新的帐户。不要把它们混在一起；例如，不要在同一台电脑上用你的假名的电子邮件使用Twitter后，用你的真实电子邮件地址浏览Facebook。等你到家再说。
3. 同样，除非你别无选择（例如，注册一个阻止Tor的提供商），否则千万不要通过clearnet执行与你的假名活动相关的操作，并在这样做时对你的位置采取额外的预防措施。
4. 如果您需要拨打和接听电话，请为此购买一部匿名预付费电话。这在一些国家是困难的，但如果你有足够的创造力，这是可以做到的。支付现金；切勿使用借记卡或信用卡购买**或充值。如果您在离家10英里（16公里）以内，切勿**或打开电池，也不要使用无法取出电池的**。切勿将以前在一部**中使用过的SIM卡**另一部**。永远不要把它的号码给任何通过你的真实身份认识你的人，甚至不要承认它的存在。这可能需要包括您的家庭成员。

隐藏服务

这些都是最近的大新闻，最近至少有两个高知名度的隐藏服务，丝绸之路和自由主办。坏消息是，隐藏的服务比它们可以或应该的要弱得多。好消息是，美国****局似乎并没有对他们做太多（虽然美国****局的幻灯片提到了一个名为ONIONBREATH的GCHQ项目，该项目专注于隐藏服务，但目前还不知道其他什么）。

此外，由于隐藏服务通常必须在其他人的物理控制下运行，因此它们很容易受到另一方的损害。因此，保护服务的匿名性就更为重要了，因为一旦以这种方式被破坏，游戏就差不多结束了。

如果您只是访问一个隐藏的服务，上面给出的建议就足够了。如果需要运行隐藏服务，请执行以上所有操作，此外，还可以执行以下操作。请注意，这些任务需要有经验的系统管理员；在没有相关经验的情况下执行这些任务将是困难或不可能的。

1. 除非同时控制物理主机，否则不要在虚拟机中运行隐藏服务。Tor和服务在防火墙物理主机上的防火墙虚拟机中运行的设计是可以的，前提是它是您控制的物理主机，并且您不仅仅是租用云空间。
2. Tor隐藏服务的更好设计是由两个物理主机组成，尽管它们可能位于同一个数据中心，但它们是从两个不同的提供商租用的。在第一个物理主机上，单个虚拟机使用Tor运行。主机和虚拟机都通过防火墙来阻止除Tor流量和到第二个物理主机的流量之外的传出流量。第二个物理主机将包含一个具有实际隐藏服务的VM。同样，这些将在两个方向上进行防火墙。它们之间的连接应使用IPSec、OpenVPN等进行保护。如果怀疑运行Tor的主机可能受到损害，则可以立即移动第二台服务器上的服务（通过复制虚拟机映像），并使两台服务器都退役。这两种设计都可以很容易地用Whonix实现。
3. 从第三方租用的主机很方便，但特别容易受到攻击，因为服务提供商会复制硬盘驱动器。如果服务器是虚拟的，或者是物理的但使用RAID存储，则可以在不使服务器脱机的情况下执行此操作。再次，不要租用云空间，并仔细监控物理主机的硬件。如果RAID阵列显示为降级，或者如果服务器莫名其妙地停机超过几分钟，则应将服务器视为已损坏，因为无法区分简单的硬件故障和这种性质的损坏。
4. 确保您的主机提供商提供对远程控制台的全天候访问（在主机行业，这通常称为KVM，尽管它通常通过IPMI实现，IPMI也可以安装操作系统）。在安装过程中使用临时密码/密码短语，并在Tor启动和运行后全部更改（见下文）。远程控制台还允许您运行一个完全加密的物理主机，降低了由于物理危害而导致数据丢失的风险；但是，在这种情况下，每次启动系统时都必须更改密码短语（即使这样也不能减轻所有可能的攻击，但可以为您争取时间）。
5. 运行服务的主机的初始设置必须通过clearnet，尽管是通过ssh；但是，要重申的是，不能在家里或你以前去过的地方进行。正如我们所看到的，仅仅使用VPN是不够的。这可能会导致您在实际注册服务时遇到问题，因为这类提供商可能会使用欺诈保护。不过，如何处理这一问题超出了这个答案的范围。
6. 一旦Tor启动并运行，就不要再通过clearnet连接到任何服务器或虚拟机。配置通过ssh连接到每个主机和每个虚拟机的隐藏服务，并始终使用它们。如果您必须通过clearnet连接以解决问题，请再次从您永远不会访问的位置进行连接。
7. 必须定期移动隐藏的服务，即使不怀疑存在妥协。2013年的一篇论文描述了一种攻击，这种攻击可以在短短几个月内找到一个隐藏的服务，花费大约1万美元的云计算费用，这甚至在一些个人的预算之内。至少每月移动一次隐藏的服务会更安全，尽管一点也不方便。理想情况下，应该尽可能频繁地移动它，尽管这很快就会变成不切实际的情况。请注意，Tor网络大约需要一个小时才能识别移动的隐藏服务的新位置。

结论

匿名很难。光靠技术，不管它有多好，永远都不够。它需要清醒的头脑和对细节的仔细关注，以及现实世界中的行动，以减轻仅靠技术无法解决的弱点。正如人们经常提到的，攻击者可能是笨手笨脚的傻瓜，他们只有纯粹的运气可以依靠，但你只需要犯一个错误就可以毁灭。我们称之为“高级持久性威胁”，部分原因是它们具有持久性。他们不会放弃，你也不能放弃。

不同意上述答案？你有自己的专长吗？查看原始问题，并在infosecuritystackexchange上看到更多类似的问题，这是一个面向InfoSec专业人士的问答网站。现在在堆栈交换网络中还有一个Tor站点。如果你有自己的问题需要解决，问一个问题。你会得到答案的(而且是免费的。）