>>121194
>спектры
от спектре и мелты патчи в ядрах уже давно идут и включены по дефолту, виртуалка для фикса уязвимостей железа лишняя сущность

>whonix
если стоит цель просто завернуть трафик части/всей системы в тор, то это делается iptables`ом просто, через DNAT или REDIRECT, по uid/gid.
делала так чтобы для гостей висящих под определенным юзером сеть всегда была торовская, даж если там NAT и дефолтный интерфейс у гостя (а не подцепленный tun/tap впн или выделенной петли с тором)

в /etc/tor/torrc типа TransPort 127.0.0.1:8000 гага транс гага

iptables -t nat -A OUTPUT -p tcp -m owner —uid-owner host_uid -j REDIRECT —to-ports 8000
iptables -A OUTPUT -p tcp -m owner —uid-owner host_uid -d 127.0.0.1 —dport 8000 -j ACCEPT если политика -j DROP на OUTPUT. если ACCEPT то это правило не нужно.

ну и если -j DROP ин а INPUT цепочке, то и на петлю и на этот порт прописать разрешения надо, офки.

Whonix перегруженная мокропися для мамкиных хацкеров. жрет ОЗУ непомерно, не масштабируема, имеет кнопку "клирнет".
для кулхацкерских дел кнопок клирнет быть не должно, должны быть политики "всё что не разрешено явно - запрещено".