توزیع‌های لینوکس و سیستم‌عامل‌های امن پیشرفته

برای کاربران ایرانی که با نظارت گسترده دولتی، فیلترینگ اینترنت و تهدید توقیف فیزیکی دستگاه‌ها روبرو هستند، مهاجرت از ویندوز یا مک‌اواس (macOS) به لینوکس، یکی از مؤثرترین گام‌ها به سوی حاکمیت دیجیتال است. لینوکس شفافیت، کنترل و قابلیت بازرسی نرم‌افزارهای در حال اجرا روی دستگاه را برای شما فراهم می‌کند.

با این حال، لینوکس معجزه نمی‌کند. یک سیستم لینوکسی که به درستی پیکربندی نشده باشد، می‌تواند به اندازه ویندوز آسیب‌پذیر باشد. این راهنما توزیع‌های پیشنهادی برای مدل‌های تهدید مختلف و دستورالعمل‌هایی برای امن‌سازی (Hardening) آن‌ها در برابر تهدیدات محلی را پوشش می‌دهد.

---

چرا لینوکس برای شرایط ایران مناسب است؟

۱. اجتناب از تله‌متری (داده‌کاوی): برخلاف ویندوز، اکثر توزیع‌های لینوکس به‌طور پیش‌فرض فعالیت‌های شما را ردیابی نمی‌کنند و داده‌های استفاده را به سرورهای شرکتی نمی‌فرستند. ۲. کارایی منابع: بسیاری از ایرانیان به دلیل تحریم‌های اقتصادی از سخت‌افزارهای قدیمی‌تر استفاده می‌کنند. لینوکس به دستگاه‌های قدیمی که توانایی اجرای ویندوز ۱۱ را ندارند، جانی دوباره می‌بخشد. ۳. امنیت قابل بازرسی: متن‌باز (Open-source) بودن لینوکس به جامعه اجازه می‌دهد تا اطمینان حاصل کنند که هیچ "در پشتی" (Backdoor) برای دسترسی دولت‌ها وجود ندارد. ۴. مقاومت در برابر سانسور: لینوکس ابزارهای شبکه‌ای پیشرفته‌ای (مانند proxychains، مسیریابی سفارشی و پروکسی‌های شفاف Tor) را ارائه می‌دهد که اغلب برای دور زدن فیلترینگ "شبکه ملی اطلاعات" (اینترانت ملی) ضروری هستند.

---

انتخاب توزیع مناسب

همه توزیع‌های لینوکس یکسان خلق نشده‌اند. توزیعی را انتخاب کنید که با دانش فنی و مدل تهدید شما همخوانی داشته باشد.

۱. اهداف عمومی (استفاده روزمره)

مناسب برای: کاربرانی که از ویندوز مهاجرت می‌کنند، دانشجویان و کارهای اداری عمومی.

• فدورا ورک‌استیشن (Fedora Workstation):
  • چرا: فناوری‌های امنیتی مدرن (مانند Wayland و PipeWire) را سریع‌تر از دیگران به کار می‌گیرد. به‌طور پیش‌فرض از SELinux (لینوکس با امنیت ارتقا یافته) برای محدود کردن برنامه‌ها استفاده می‌کند.
  • مزایا: پایداری بالا، پیش‌فرض‌های امنیتی قوی.
  • معایب: نیاز به آپدیت‌های مکرر دارد (انتشار نیمه‌غلتان).
• اوبونتو / لینوکس مینت (Ubuntu / Linux Mint):
  • چرا: بسیار محبوب با مستندات گسترده. مینت رابط کاربری شبیه به ویندوز (Cinnamon) ارائه می‌دهد که انتقال را آسان می‌کند.
  • هشدار: اوبونتو در گذشته به دلیل گنجاندن تله‌متری (ادغام جستجوی آمازون) مورد انتقاد قرار گرفته است (اکنون عمدتاً اختیاری است). همیشه در هنگام نصب، گزینه "No" را برای تله‌متری انتخاب کنید.
• اوپن‌سوزه تامبل‌وید (openSUSE Tumbleweed):
  • چرا: یک توزیع غلتان (Rolling release) که از تست خودکار (openQA) استفاده می‌کند. این امکان آپدیت‌های "اتمی" و بازگردانی آسان (Rollback) در صورت خرابی سیستم پس از آپدیت را (با استفاده از اسنپ‌شات‌های Btrfs) فراهم می‌کند.

۲. ناشناسی و ضد سانسور (ریسک بالا)

مناسب برای: روزنامه‌نگاران، معترضان و دسترسی امن به محتوای مسدود شده.

• تیلز (Tails - The Amnesic Incognito Live System):
  • مفهوم: یک سیستم‌عامل "زنده" که از روی حافظه USB اجرا می‌شود. تمام ترافیک را از طریق شبکه Tor عبور می‌دهد.
  • پزشکی قانونی دیجیتال: هنگام خاموش شدن، رم (RAM) را پاک‌سازی می‌کند. اگر نیروهای امنیتی فلش USB یا کامپیوتر شما را توقیف کنند، هیچ اثری از فعالیت شما باقی نمی‌ماند (مگر اینکه ذخیره‌سازی پایدار یا Persistent Storage را فعال کرده باشید).
  • شرایط ایران: از آنجا که Tor در ایران به شدت مسدود می‌شود، باید قبل از اتصال، در صفحه خوش‌آمدگویی Tails، پل‌های تور (Tor Bridges) (مانند Snowflake یا obfs4) را پیکربندی کنید.
• هونیکس (Whonix):
  • مفهوم: داخل ماشین‌های مجازی (VMs) اجرا می‌شود. متشکل از یک "دروازه" (Gateway - که تور را اجرا می‌کند) و یک "ایستگاه کاری" (Workstation - که شما در آن کار می‌کنید) است.
  • امنیت: حتی اگر بدافزاری ایستگاه کاری شما را آلوده کند، نمی‌تواند آدرس IP واقعی شما را کشف کند زیرا کاملاً از سخت‌افزار شبکه ایزوله شده است.

۳. امنیت پیشرفته (جداسازی و ایزولاسیون)

مناسب برای: اهداف با ارزش بالا، کارشناسان فنی.

• کیوبز او‌اس (Qubes OS):
  • مفهوم: "امنیت از طریق انزوا." Qubes از هایپروایزر Xen استفاده می‌کند تا همه چیز را در محفظه‌های ایزوله (qubes) اجرا کند.
  • کاربرد: شما می‌توانید یک فایل PDF مشکوک را در یک کیوب "یک‌بار مصرف" (Disposable) باز کنید. اگر PDF حاوی بدافزار باشد، فقط آن محیط یک‌بار مصرف آلوده می‌شود که به محض بستن پنجره نابود می‌شود.
  • الزامات: نیاز به سخت‌افزار قدرتمند (رم زیاد و CPU با پشتیبانی از مجازی‌سازی VT-d) دارد.
  • شبکه: به شما اجازه می‌دهد VPNها و Tor را زنجیر کنید. برای مثال: sys-net (اینترنت) -> sys-vpn (وی‌پی‌ان) -> sys-whonix (تور) -> Workstation. این روش در برابر بازرسی عمیق بسته‌ها (DPI) توسط ISP بسیار مؤثر است.

---

راهنمای امن‌سازی سیستم (Hardening)

صرف‌نظر از توزیعی که انتخاب می‌کنید، باید آن را به‌صورت امن پیکربندی کنید.

۱. رمزنگاری کامل دیسک (LUKS)

حیاتی: هنگام نصب لینوکس، باید گزینه Encrypt the new installation (معمولاً LUKS) را انتخاب کنید.

• چرا: اگر لپ‌تاپ شما در ایست بازرسی یا طی یورش توقیف شود، رمزنگاری مانع دسترسی به فایل‌های شما بدون داشتن عبارت عبور می‌شود.
• عبارت عبور: از یک عبارت عبور قوی و قابل به‌خاطر سپردن (بیش از ۲۰ کاراکتر) استفاده کنید.

۲. مدیریت مخازن و آپدیت‌ها (تحریم و سانسور)

کاربران ایرانی اغلب هنگام تلاش برای آپدیت نرم‌افزار با خطاهای "403 Forbidden" مواجه می‌شوند، زیرا مخازن بین‌المللی به دلیل تحریم‌ها، آدرس‌های IP ایران را مسدود می‌کنند.

• آینه‌ها (Mirrors): منابع نرم‌افزاری خود را به آینه‌هایی تغییر دهید که ایران را مسدود نمی‌کنند، یا از VPN در سطح روتر/دروازه استفاده کنید.
• آپدیت‌ها: آپدیت‌ها را روزانه اجرا کنید. آسیب‌پذیری‌ها دائماً کشف می‌شوند.
  • دبیان/اوبونتو: sudo apt update && sudo apt upgrade
  • فدورا: sudo dnf upgrade

۳. پیکربندی فایروال

یک فایروال فعال کنید تا اتصالات ورودی ناخواسته را مسدود کند.

• اوبونتو/مینت: فعال‌سازی UFW (فایروال ساده).

  sudo ufw enable
  sudo ufw default deny incoming
  sudo ufw default allow outgoing
  

• فدورا: به‌طور پیش‌فرض از firewalld استفاده می‌کند که برای اکثر استفاده‌های دسکتاپ به‌صورت امن پیکربندی شده است.

۴. تصادفی‌سازی مک آدرس (MAC Address Randomization)

برای جلوگیری از ردیابی توسط هات‌اسپات‌های وای‌فای (کافه‌ها، دانشگاه‌ها) یا نظارت شبکه محلی، آدرس مک خود را تصادفی کنید.

برای NetworkManager (فدورا، اوبونتو و غیره):

1. فایل /etc/NetworkManager/conf.d/00-macrandomize.conf را ایجاد یا ویرایش کنید:

   [device]
   wifi.scan-rand-mac-address=yes
   
   [connection]
   wifi.cloned-mac-address=random
   ethernet.cloned-mac-address=random
   

2. سرویس NetworkManager را ری‌استارت کنید: systemctl restart NetworkManager

۵. حریم خصوصی DNS (DoH/DoT)

ISPها در ایران از مسموم‌سازی/ربودن DNS برای مسدود کردن وب‌سایت‌ها و ردیابی فعالیت کاربران استفاده می‌کنند.

• اقدام: مرورگر خود (فایرفاکس/بریو) را برای استفاده از DNS over HTTPS (DoH) پیکربندی کنید.
• در سطح سیستم: از ابزارهایی مانند dnscrypt-proxy استفاده کنید یا systemd-resolved را طوری پیکربندی کنید که از سرورهای DNS رمزنگاری‌شده که از ایران قابل دسترسی هستند (مانند Cloudflare 1.1.1.1 که اغلب کار می‌کند، یا DNSهای خصوصی رمزنگاری‌شده) استفاده کند.

---

نکات و ملاحظات حریم خصوصی

امنیت پارتیشن Swap

اگر از پارتیشن Swap (حافظه مجازی روی دیسک) استفاده می‌کنید، ممکن است حاوی داده‌های حساسی (مانند رمزهای عبور) باشد که در رم وجود داشته‌اند.

• توصیه: از ZRAM (فشرده‌سازی رم) به‌جای فایل swap فیزیکی روی دیسک استفاده کنید. فدورا این کار را به‌طور پیش‌فرض انجام می‌دهد.
• اگر از Swap دیسک استفاده می‌کنید: مطمئن شوید که پارتیشن swap با استفاده از LUKS رمزنگاری شده است.

میکروفون و دوربین

• فیزیکی: از چسب یا پوشش کشویی برای وب‌کم استفاده کنید.
• نرم‌افزاری: در محیط دسکتاپ گنوم (GNOME - پیش‌فرض در فدورا/اوبونتو)، می‌توانید میکروفون و دوربین را از طریق منوی تنظیمات سریع (Quick Settings) غیرفعال کنید.
• سخت‌افزاری: برخی لپ‌تاپ‌های لینوکسی (مانند Framework یا System76) دارای کلیدهای قطع سخت‌افزاری (Kill-switches) هستند.

حساب‌های کاربری

• تفکیک: با کاربر root وارد سیستم نشوید. یک حساب کاربری استاندارد برای کارهای روزمره بسازید و فقط در صورت لزوم از sudo استفاده کنید.
• حساب مهمان: ورود مهمان (Guest login) را غیرفعال کنید تا از دسترسی فیزیکی غیرمجاز به یک نشست موقت جلوگیری شود.

---

جدول خلاصه: از کدام سیستم‌عامل باید استفاده کنید؟

نکته پایانی برای کاربران ایرانی: هیچ نرم‌افزاری شما را رویین‌تن نمی‌کند. امنیت فیزیکی شما (چه کسی به دستگاهتان دسترسی دارد) و امنیت عملیاتی (چه می‌گویید و کجا) به اندازه سیستم‌عاملی که انتخاب می‌کنید مهم هستند. همیشه یک "طرح اضطرار" (Duress plan) داشته باشید—بدانید اگر مجبور به باز کردن قفل دستگاهتان شدید، چه خواهید کرد.