- Автор темы
- #1
Полный разбор Tails [Часть 1]
February 14, 2019
Hello world
Tails — это операционная система на основе Linux, главная цель которой это анонимность пользователя.
Tails предназначена загружаться со сменного носителя — с USB флешки или CD диска. Во время своей работы она выходит в Интернет только через сеть Tor, а также никак не взаимодействуют с другими хранилищами компьютера (жёсткими и SSD дисками) если вы явно это не укажите. Благодаря этому Tails: обеспечивает повышенную анонимность, не оставляет следов своего использования
Дополнительно в данной операционной системе установлено несколько сопутствующих целям программ: для анонимного обмена мгновенными сообщениями, для анонимного распространения файлов, браузер Tor, почтовый клиент, Биткоин клиент, а также обычные программы для работы с документами и графикой.
С выходом Tails 3.12 внесены серьёзные изменения в установку — начнём с неё, а затем рассмотрим другие моменты как пользоваться Tails.
Установка и загрузка Tails
Страница для скачивания торрентов Tails: https://tails.boum.org/torrents/files/
Как можно увидеть, там с десяток файлов. Файлы, содержащие в названии ~rc1 — это предварительные версии — если имеется стабильная версия, то лучше скачивать её.
Файлы с расширением .sig нужны для проверки целостности и подлинности скаченного образа.
Торренты на сами образы имеют расширения .img.torrent и .iso.torrent. Если вы будете записывать Tails на USB флешку, то для скачивания вам нужен файл .img.torrent, а если вы хотите записать операционную систему на оптический диск, то вам нужен файл .iso.torrent.
Как установить Tails
Теперь разработчики делают USB образы, которые достаточно просто записать на флешку. Файлы образов для USB имеют файловое расширение .img, например, tails-amd64-3.12.img. А файлы в названии которых есть .iso, например, tails-amd64-3.12.iso, предназначены для записи на компакт-диск.
Убедитесь, что вы скачали правильный файл с расширением .img.
Теперь не нужны никакие две флешки, не нужны промежуточные системы Tails, из всех операционных систем установка Tails на флешку делается с помощью программы Etcher.
Эта программа работает на всех основных операционных системах, в том числе на Windows 7 (64-bit) и более поздник, а также на Linux.
Для Windows вы можете скачать как установочный файл, так и портативный.
Для Linux программа распространяется в удобных пакетах с расширением .AppImage. Например, после распаковки скаченного архива программа будет иметь примерно такое название: balena-etcher-electron-1.4.9-x86_64.AppImage.
Удобство AppImage в том, что в пакете собрано всё что нужно для запуска программы. То есть для запуска программы просто дважды кликните на неё — никакой установки зависимостей и прочего.
Установка делается элементарно, причём в любой из операционных систем она идентична:
Запустите Etcher:
Выберите образ для записи на флешку:
Если флешка уже подключена к компьютеру и она только одна, то USB флешка для записи выбирается автоматически. Если этого не произошло, то выберите её вручную.
Нажмите на кнопку Flash!
Дождитесь окончания процесса:
После записи будет сделана верификация, что данные записались без ошибок. Etcher можно закрыть — Tails готовая к использованию. Вот так всё стало просто.
Как загрузиться с USB флешки Tails
При включении компьютера вам нужно зайти в BIOS (UEFI) и проверить, отключены ли опции Fast boot и Security boot — отключите их, иначе не сможете загрузиться со стороннего носителя.
Чтобы зайти в БИОС при старте компьютера много раз нажимайте кнопку Esc или Del. Если это не работает — то погуглите, как на вашей моделе компьютера (зависит от модели ноутбука или от модели материнской платы — если это настольный компьютер) зайти в БИОС.
В самом БИОСе или при включении компьютера (для этого нажимайте много раз кнопку Esc) выберите в загрузочном меню флешку с Tails.
Запуск Tails в VirtualBox
Разработчики в дополнении образа для USB флешек по-прежнему создают и .ISO образы, которые нужны для запуска с оптического диска. Именно эти образы нужно использовать для запуска Tails в VirtualBox.
При создании новой виртуальной машины в качестве Типа выберите Linux, а в качестве Версии выберите Other Linux (64 bit).
Виртуальной машине нужно минимум 2048 MB оперативной памяти, создавать новый виртуальный диск не нужно — загрузка и вся работа будет проходить с .ISO образа.
При первом старте укажите .ISO с Tails.
При работе в виртуальной машине невозможно подключить постоянное хранилище, но из виртуальной машины можно выполнить установку Tails на флешку. Примечание: продвинутые пользователи могут установить Tails в VirtualBox и могут там создать постоянное хранилище. Пошаговые инструкции как это сделать в третьей части данного руководства.
Установка Tails из Tails
Вы по-прежнему можете устанавливать Tails как это рекомендовалось ранее: из самой Tails.
Вы можете загрузиться с оптического диска Tails или из виртуальной машины, затем в меню выберите Tails → Tails Installer:
Укажите флешку, на которую будет выполнена установка. Имеются опции:
Дождитесь окончания процесса — он требует времени. Иногда может показаться, что всё замерло — просто подождите, у меня запись таким образом заняла где-то 10-15 минут.
Как запускать команды от root в Tails. Как использовать sudo в Tails. Какой в Tails пароль по умолчанию для root / администратора
Если вы просто включите Tails с настройками по умолчанию, то вы не сможете использовать sudo, то есть не сможете выполнять команды от root. Это может понадобиться, например, при установке новых программ, а также создании раздела на Tails для хранения данных, настроек, установленных программ. То есть практически для всего рассмотренного далее нужен административные права в системе, поэтому рассмотрим, как в Tails активировать администраторский пароль.
При включении Tails на этапе выбора языка нажмите + (плюс):
Нажмите на Administration Password (Пароль администратора):
Придумайте и два раза введите пароль:
Когда всё готово в поле Additional Settings (Дополнительные настройки) появится информация о том, что включён пароль администратора. Теперь достаточно нажать на кнопку Start Tails (Запуск Tails):
Почему в Tails не сохраняются настройки? Как сохранять файлы в Tails
Tails — это Live система, то есть она записывается на носитель таким образом, что изменения в файловую систему не сохраняются. Если вы делаете какие-то настройки системы (можно даже обновить пакеты), то все они держаться в оперативной памяти и после перезагрузки системы полностью пропадают.
Если вы работаете с ISO (оптического диска), то вы можете использовать для сохранения файлов другие носители, а настройки системы сохранять не получится. Но если вы запускаете Tails с флешки, то можно настроить persistence — то есть постоянное хранилище.
Если вы работали с persistence томами на других дистрибутивах Linux, то там это происходит так: с технической точки зрения persistence отличается от работы операционной системы установленной на обычный диск. В случае обычной установки, операционная система создаёт новые файлы и удаляет ненужные с диска. В случае же с persistence, система всегда остаётся Live системой — то есть она записана на раздел, в который невозможно внести изменений, то есть невозможно записать или удалить файл. Но подключается новый раздел (тот самый persistence), на который можно записывать файлы.
В результате, даже если вы обновляете систему, то исходный Live раздел не меняется — изменения записываются на persistence. При работе ОС каждый раз вычисляет результирующую: Live раздел + изменения внесённые на persistence. У этого есть плюсы и минусы. Плюс в том, что нам в принципе становится доступной сохранять настройки и файлы. Также Live раздел занимает меньше места чем полноценная установленная система. И ещё — можно запустить систему без persistence — получится Live система в её исходном состоянии.
В Tails persistence работает иначе: если вы установили новую программу, то вместо «бесшовной» работы с этой программой каждый раз, когда активирован persistence, в Tails эта программа заново устанавливается при каждой загрузке системы. Сделанные обновления и настройки системы просто не сохраняются. Если коротко: в persistence у Tails сохраняется только то, что предусмотрели разработчики. В то время как у других дистрибутивов Linux в persistence сохраняются практически все сделанные в системе изменения — как у обычной установки Linux.
Зашифрованное постоянное хранилище Tails (persistence)
Если вы запускаете Tails с USB флешки, вы можете на свободном пространстве карты памяти USB создать том с постоянным хранилищем. Файлы на таком томе хранятся зашифрованными и остаются доступными и после перезагрузки системы.
Это можно сделать только если Tails установлена на USB флешку (а не на оптический диск) и если объём этой флешки минимум 8 GB.
Этот том persistent может использоваться для хранения следующего:
После создания раздела persistent, каждый раз при старте Tails вы можете выбирать — активировать его или нет.
Использование постоянного хранилища на системе, предназначенной для обеспечения анонимности и не оставлять следы, это довольно сложный вопрос, поэтому начнём с предупреждений.
Предупреждения о постоянном хранилище
Хранение чувствительных документов
Том persistent не является скрытым. Атакующий при завладении вашей USB флешкой может узнать, что на ней есть постоянное хранилище. Имейте в виду, что пароль может быть вызнан под принуждением или обманом.
Ниже также будет инструкция по безопасному удалению постоянного тома.
Переписывание конфигураций
Программы, включённые в Tails, тщательно настроены с учётом безопасности. Если вы используете том persistence для перезаписи конфигураций программ включённых в Tails, это может нарушить безопасность или сделать эти программы непригодными для использования.
Будьте особенно осторожны используя возможности Dotfiles (о них ниже).
Более того, для анонимности Tor и Tails они полагаются на то, что все установленные системы у разных пользователей идентичны, то есть затруднено различие одного пользователя Tails от других. Изменение стандартных конфигураций может нарушить вашу анонимность — то есть вы сделаете вашу систему в чём-то более уникальной, отличной от других Tails.
Установка дополнительных программ
Для защиты вашей анонимности и не оставления следов, разработчики Tails отобрали и тщательно настроили программы которые хорошо работают вместе. Установка дополнительных программ может привнести неожиданные проблемы и может нарушить встроенные в Tails защиты.
Плагины браузера
Веб-браузер — это центральная часть систем таких как Tails. Плагины включённые в браузер тщательно отобраны и настроены с учётом безопасности. Если вы установите другие плагины или измените их настройки, вы можете нарушить анонимность.
Используйте по минимуму
Сведите к минимуму использование постоянного хранилища, делайте это только когда необходимо. Всегда можно запустить Tails без активации тома persistent. Все возможности постоянного тома являются опциональными и не требуют явной активации. Сохраняются только файлы и папки, которые вы указали.
Открытие постоянного хранилища из других операционных систем
Можно открыть persistent том с других операционных систем. Но если так делать, это может скомпрометировать безопасность, обеспечиваемую Tails.
Например, другими операционными системами могут быть созданы и сохранены эскизы изображений. Или содержимое файлов может быть проиндексировано другой операционной системой.
Вероятно, не стоит доверять другим операционным системам работу с чувствительной информацией или не оставлению следов.
Создание постоянного хранилища
Важно: вы должны быть загружены с флешки для которой хотите настроить постоянное хранилище.
Для запуска помощника по работе с постоянным хранилищем, выберите Applications (Приложения) → Tails → Configure persistent volume:
Будет открыто окно, в которое нужно два раза ввести пароль — этот пароль вам нужно придумать и запомнить, поскольку если вы его забудете, то не сможете расшифровать файлы, помещённые в постоянное хранилище.
Чем длиннее пароль, тем труднее его взломать. Разработчики рекомендуют длинные парольные фразы, состоящие от пяти до семи случайных слов.
Нажмите кнопку Создать (Create):
Дождитесь завершения создания.
Программа-помощник покажет список возможных функций persistence. Каждая функция соответствует набору файлов или настроек для сохранения в зашифрованное хранилище.
Начать рекомендуется с активации только хранилища Personal Data (персональные данные). Позднее вы можете активировать больше пунктов в соответствии с вашими потребностями.
Когда всё будет готово, нажмите Save (Сохранить).
Изменения вступят в силу после перезагрузки компьютера. Поэтому перезапустите систему. При включении в приветственном окне станет доступным новый пункт. Если вы введёте верный пароль, то будет подключено постоянное хранилище. Вы также можете его не подключать, тогда загрузится обычная Live система.
Постоянное хранилище подключается только на текущую сессию (до перезагрузки компьютера). Сохраняются только файлы, помещённые в папку Persistent. Чтобы попасть в эту папку, нажмите Places (Места) и затем выберите Persistent.
Настройка постоянного хранилища
Для запуска помощника по работе с постоянным хранилищем, выберите Applications (Приложения) → Tails → Configure persistent volume.
Примечание: сообщение об ошибке Error, «Persistence partition is not unlocked.» означает, что persistent не был включён из Tails Greeter (приветственное окно Tails). Поэтому вы не можете настроить его, но вы можете удалить его и создать новое.
Функции и опции Persistence
Примечание: в настоящее время могут сохраняться только функции, которые здесь перечислены. Некоторые другие функции были запрошены и приняты разработчиками, но эти функции до сих пор дожидаются реализации: расширения браузера, обои, стандартная звуковая карта, настройки мыши и тачпада и прочее.
Помните: если вы отключили функцию, которая ранее была активирована, то она будет деактивирована после перезапуска Tails, но соответствующие файлы сохраняться на томе persistent.
Для удаления файлов, соответствующих функции:
для открытия файлового браузера с административными правами.
Либо просто в обычном терминале наберите:
sudo nautilus
Personal Data (Персональные файлы)
Когда активирована эта функция, вы можете сохранять ваши персональные файлы и рабочие документы в папку Persistent. Чтобы открыть эту папку выберите Places (Места) → Persistent.
Browser Bookmarks (Закладки браузера)
Когда активирована эта функция, изменения в закладка Tor Browser сохраняются на томе persistent. Это не применяется к Unsafe Browser.
Network Connections (Сетевые подключения)
Когда активирована эта функция, конфигурация сетевых устройств и соединений сохраняется на томе persistent.
Additional Software (Дополнительные программы)
Когда активирована эта функция, список дополнительных программ, которые вы выбрали, автоматически устанавливается каждый раз, когда вы запускаете Tails.
Соответствующие пакеты программ хранятся на томе persistent. Для безопасности они автоматически обновляются после установления сетевого соединения.
Пакеты, включённые в Tails, тщательно протестированы на безопасность. Установка дополнительных пакетов может нарушить встроенную в Tails безопасность, поэтому будьте осторожны с тем, что вы устанавливаете.
Printers (Принтеры)
Когда активирована эта функция, конфигурация принтеров сохраняется на томе persistent.
Thunderbird
Когда активирована эта функция, конфигурация и электронные письма хранятся email клиентом Thunderbird на томе persistent.
GnuPG
Когда активирована эта функция, OpenPGP ключи, которые вы создали или импортировали, хранятся на томе persistent.
Если вы вручную редактируете или переписываете конфигурационный файл ~/.gnupg/gpg.conf, то вы можете уменьшить свою анонимность, ослабить настройки шифрования по умолчанию или сделать GnuPG непригодным для использования.
Bitcoin Client (Клиент (кошелёк) Биткоин)
Когда активирована эта функция, кошелёк Bitcoin и настройки клиента Биткоин Electrum сохраняются на томе persistent
Pidgin
Когда активирована эта функция, в постоянном хранилище размещаются конфигурационные файлы Интернет-мессенджера Pidgin. К ним относятся:
SSH Client (Клиент SSH)
Когда активирована эта функция, все файлы, относящиеся к клиенту безопасного шелла (secure-shell) сохраняются в persistent:
Dotfiles (Дотфайлы)
Когда активирована эта функция, все файлы в папке /live/persistence/TailsData_unlocked/dotfiles подсоединены ссылками к Домашней папке. Файлы в подпапках дотфайлов также привязаны к соответствующим подпапкам вашей Домашней папки.
Например, имеются следующие файлы в /live/persistence/TailsData_unlocked/dotfiles:
/live/persistence/TailsData_unlocked/dotfiles
├── file_a
├── folder
│ ├── file_b
│ └── subfolder
│ └── file_c
└── emptyfolder
Это приводит к тому, что в /home/amnesia:
/home/amnesia
├── file_a → /live/persistence/TailsData_unlocked/dotfiles/file_a
└── folder
├── file_b → /live/persistence/TailsData_unlocked/dotfiles/folder/file_b
└── subfolder
└── file_c →
/live/persistence/TailsData_unlocked/dotfiles/folder/subfolder/file_c
Эта опция полезна если вы хотите сделать постоянными некоторые определённые файлы, но не папку, в которой они размещены. Хороший пример так называемых дотфайлов (отсюда и название этой функции) это скрытые конфигурационные файлы в корне вашей домешней директории, такие как ~/.gitconfig и ~/.bashrc.
Как вы можете видеть в предыдущем примере, пустые папки игнорируются. Эта функция только связывает файлы, но не папки, из тома persistent в Домашнюю (Home) папку.
Сохранение конфигураций мониторов
Если у вас больше чем один дисплей (например, два монитора или проектор), вы можете сохранить конфигурации ваших дисплеев используя функцию Дотфайлов.
Подключение и использование постоянного хранилища
После создания постоянного хранилища, при запуске Tails на приветственном экране (там, где можно выбрать язык), появится новое поле «Encrypted Persistent Storage» - в него нужно ввести пароль от раздела persistent и нажать Unlock:
Для использования постоянного хранилища, откройте папку Persistent, в неё попасть можно выбрав Places (Места) → Persistent. Здесь вы можете хранить персональные папки и рабочие документы — они будут сохраняться после перезагрузки.
Для продвинутых пользователей, для доступа во внутреннее содержимое постоянного хранилища выберите Places (Места) → Computer (Компьютер) для открытия папок live → persistence → TailsData_unlocked.
Изменение пароля постоянного хранилища
Ручное копирование данных с постоянного хранилища на новую USB флешку
Эти инструкции объясняют, как вручную скопировать ваши хранимые данные на новую USB флешку. Следуйте им если у вас есть серьёзные причины думать, что ваши хранимые настройки повреждены или если вы хотите быть очень аккуратным с вашими хранимыми данными.
Создайте новую USB флешку с Tails
Спасание файлов из старой флешки Tails USB
Для начала, смонтируйте старый том persistent.
Проверка файловой системы постоянного хранилища
При редких обстоятельствах вам может потребоваться выполнить проверку файловой системы для исправления дефектного тома persistent.
Разблокировка тома persistent...
Проверка файловой системы используя терминал
Чтобы это сделать, вы можете набрать fsck -y и нажать Shift+Ctrl+V для вставки имени из буфера обмена.
Удаление постоянного хранилища
Надёжное удаление постоянного хранилища
Предыдущая техника не препятствует атакующему восстановить файлы в старом хранилище используя техники восстановления данных. Для надёжного удаления раздела persistent, запустите Tails с другой USB флешки или DVD и выполняйте следующие операции на USB флешке с которой вы хотите сделать надёжное удаление:
February 14, 2019
Hello world
Tails — это операционная система на основе Linux, главная цель которой это анонимность пользователя.
Tails предназначена загружаться со сменного носителя — с USB флешки или CD диска. Во время своей работы она выходит в Интернет только через сеть Tor, а также никак не взаимодействуют с другими хранилищами компьютера (жёсткими и SSD дисками) если вы явно это не укажите. Благодаря этому Tails: обеспечивает повышенную анонимность, не оставляет следов своего использования
Дополнительно в данной операционной системе установлено несколько сопутствующих целям программ: для анонимного обмена мгновенными сообщениями, для анонимного распространения файлов, браузер Tor, почтовый клиент, Биткоин клиент, а также обычные программы для работы с документами и графикой.
С выходом Tails 3.12 внесены серьёзные изменения в установку — начнём с неё, а затем рассмотрим другие моменты как пользоваться Tails.
Установка и загрузка Tails
Страница для скачивания торрентов Tails: https://tails.boum.org/torrents/files/
Как можно увидеть, там с десяток файлов. Файлы, содержащие в названии ~rc1 — это предварительные версии — если имеется стабильная версия, то лучше скачивать её.
Файлы с расширением .sig нужны для проверки целостности и подлинности скаченного образа.
Торренты на сами образы имеют расширения .img.torrent и .iso.torrent. Если вы будете записывать Tails на USB флешку, то для скачивания вам нужен файл .img.torrent, а если вы хотите записать операционную систему на оптический диск, то вам нужен файл .iso.torrent.
Как установить Tails
Теперь разработчики делают USB образы, которые достаточно просто записать на флешку. Файлы образов для USB имеют файловое расширение .img, например, tails-amd64-3.12.img. А файлы в названии которых есть .iso, например, tails-amd64-3.12.iso, предназначены для записи на компакт-диск.
Убедитесь, что вы скачали правильный файл с расширением .img.
Теперь не нужны никакие две флешки, не нужны промежуточные системы Tails, из всех операционных систем установка Tails на флешку делается с помощью программы Etcher.
Эта программа работает на всех основных операционных системах, в том числе на Windows 7 (64-bit) и более поздник, а также на Linux.
Для Windows вы можете скачать как установочный файл, так и портативный.
Для Linux программа распространяется в удобных пакетах с расширением .AppImage. Например, после распаковки скаченного архива программа будет иметь примерно такое название: balena-etcher-electron-1.4.9-x86_64.AppImage.
Удобство AppImage в том, что в пакете собрано всё что нужно для запуска программы. То есть для запуска программы просто дважды кликните на неё — никакой установки зависимостей и прочего.
Установка делается элементарно, причём в любой из операционных систем она идентична:
Запустите Etcher:
Выберите образ для записи на флешку:
Если флешка уже подключена к компьютеру и она только одна, то USB флешка для записи выбирается автоматически. Если этого не произошло, то выберите её вручную.
Нажмите на кнопку Flash!
Дождитесь окончания процесса:
После записи будет сделана верификация, что данные записались без ошибок. Etcher можно закрыть — Tails готовая к использованию. Вот так всё стало просто.
Как загрузиться с USB флешки Tails
При включении компьютера вам нужно зайти в BIOS (UEFI) и проверить, отключены ли опции Fast boot и Security boot — отключите их, иначе не сможете загрузиться со стороннего носителя.
Чтобы зайти в БИОС при старте компьютера много раз нажимайте кнопку Esc или Del. Если это не работает — то погуглите, как на вашей моделе компьютера (зависит от модели ноутбука или от модели материнской платы — если это настольный компьютер) зайти в БИОС.
В самом БИОСе или при включении компьютера (для этого нажимайте много раз кнопку Esc) выберите в загрузочном меню флешку с Tails.
Запуск Tails в VirtualBox
Разработчики в дополнении образа для USB флешек по-прежнему создают и .ISO образы, которые нужны для запуска с оптического диска. Именно эти образы нужно использовать для запуска Tails в VirtualBox.
При создании новой виртуальной машины в качестве Типа выберите Linux, а в качестве Версии выберите Other Linux (64 bit).
Виртуальной машине нужно минимум 2048 MB оперативной памяти, создавать новый виртуальный диск не нужно — загрузка и вся работа будет проходить с .ISO образа.
При первом старте укажите .ISO с Tails.
При работе в виртуальной машине невозможно подключить постоянное хранилище, но из виртуальной машины можно выполнить установку Tails на флешку. Примечание: продвинутые пользователи могут установить Tails в VirtualBox и могут там создать постоянное хранилище. Пошаговые инструкции как это сделать в третьей части данного руководства.
Установка Tails из Tails
Вы по-прежнему можете устанавливать Tails как это рекомендовалось ранее: из самой Tails.
Вы можете загрузиться с оптического диска Tails или из виртуальной машины, затем в меню выберите Tails → Tails Installer:
Укажите флешку, на которую будет выполнена установка. Имеются опции:
- Клонировать текущий Tails
- Использовать загруженный ISO образ Tails
Дождитесь окончания процесса — он требует времени. Иногда может показаться, что всё замерло — просто подождите, у меня запись таким образом заняла где-то 10-15 минут.
Как запускать команды от root в Tails. Как использовать sudo в Tails. Какой в Tails пароль по умолчанию для root / администратора
Если вы просто включите Tails с настройками по умолчанию, то вы не сможете использовать sudo, то есть не сможете выполнять команды от root. Это может понадобиться, например, при установке новых программ, а также создании раздела на Tails для хранения данных, настроек, установленных программ. То есть практически для всего рассмотренного далее нужен административные права в системе, поэтому рассмотрим, как в Tails активировать администраторский пароль.
При включении Tails на этапе выбора языка нажмите + (плюс):
Нажмите на Administration Password (Пароль администратора):
Придумайте и два раза введите пароль:
Когда всё готово в поле Additional Settings (Дополнительные настройки) появится информация о том, что включён пароль администратора. Теперь достаточно нажать на кнопку Start Tails (Запуск Tails):
Почему в Tails не сохраняются настройки? Как сохранять файлы в Tails
Tails — это Live система, то есть она записывается на носитель таким образом, что изменения в файловую систему не сохраняются. Если вы делаете какие-то настройки системы (можно даже обновить пакеты), то все они держаться в оперативной памяти и после перезагрузки системы полностью пропадают.
Если вы работаете с ISO (оптического диска), то вы можете использовать для сохранения файлов другие носители, а настройки системы сохранять не получится. Но если вы запускаете Tails с флешки, то можно настроить persistence — то есть постоянное хранилище.
Если вы работали с persistence томами на других дистрибутивах Linux, то там это происходит так: с технической точки зрения persistence отличается от работы операционной системы установленной на обычный диск. В случае обычной установки, операционная система создаёт новые файлы и удаляет ненужные с диска. В случае же с persistence, система всегда остаётся Live системой — то есть она записана на раздел, в который невозможно внести изменений, то есть невозможно записать или удалить файл. Но подключается новый раздел (тот самый persistence), на который можно записывать файлы.
В результате, даже если вы обновляете систему, то исходный Live раздел не меняется — изменения записываются на persistence. При работе ОС каждый раз вычисляет результирующую: Live раздел + изменения внесённые на persistence. У этого есть плюсы и минусы. Плюс в том, что нам в принципе становится доступной сохранять настройки и файлы. Также Live раздел занимает меньше места чем полноценная установленная система. И ещё — можно запустить систему без persistence — получится Live система в её исходном состоянии.
В Tails persistence работает иначе: если вы установили новую программу, то вместо «бесшовной» работы с этой программой каждый раз, когда активирован persistence, в Tails эта программа заново устанавливается при каждой загрузке системы. Сделанные обновления и настройки системы просто не сохраняются. Если коротко: в persistence у Tails сохраняется только то, что предусмотрели разработчики. В то время как у других дистрибутивов Linux в persistence сохраняются практически все сделанные в системе изменения — как у обычной установки Linux.
Зашифрованное постоянное хранилище Tails (persistence)
Если вы запускаете Tails с USB флешки, вы можете на свободном пространстве карты памяти USB создать том с постоянным хранилищем. Файлы на таком томе хранятся зашифрованными и остаются доступными и после перезагрузки системы.
Это можно сделать только если Tails установлена на USB флешку (а не на оптический диск) и если объём этой флешки минимум 8 GB.
Этот том persistent может использоваться для хранения следующего:
- Личных файлов
- Настроек
- Дополнительного программного обеспечения
- Ключей шифрования
После создания раздела persistent, каждый раз при старте Tails вы можете выбирать — активировать его или нет.
Использование постоянного хранилища на системе, предназначенной для обеспечения анонимности и не оставлять следы, это довольно сложный вопрос, поэтому начнём с предупреждений.
Предупреждения о постоянном хранилище
Хранение чувствительных документов
Том persistent не является скрытым. Атакующий при завладении вашей USB флешкой может узнать, что на ней есть постоянное хранилище. Имейте в виду, что пароль может быть вызнан под принуждением или обманом.
Ниже также будет инструкция по безопасному удалению постоянного тома.
Переписывание конфигураций
Программы, включённые в Tails, тщательно настроены с учётом безопасности. Если вы используете том persistence для перезаписи конфигураций программ включённых в Tails, это может нарушить безопасность или сделать эти программы непригодными для использования.
Будьте особенно осторожны используя возможности Dotfiles (о них ниже).
Более того, для анонимности Tor и Tails они полагаются на то, что все установленные системы у разных пользователей идентичны, то есть затруднено различие одного пользователя Tails от других. Изменение стандартных конфигураций может нарушить вашу анонимность — то есть вы сделаете вашу систему в чём-то более уникальной, отличной от других Tails.
Установка дополнительных программ
Для защиты вашей анонимности и не оставления следов, разработчики Tails отобрали и тщательно настроили программы которые хорошо работают вместе. Установка дополнительных программ может привнести неожиданные проблемы и может нарушить встроенные в Tails защиты.
Плагины браузера
Веб-браузер — это центральная часть систем таких как Tails. Плагины включённые в браузер тщательно отобраны и настроены с учётом безопасности. Если вы установите другие плагины или измените их настройки, вы можете нарушить анонимность.
Используйте по минимуму
Сведите к минимуму использование постоянного хранилища, делайте это только когда необходимо. Всегда можно запустить Tails без активации тома persistent. Все возможности постоянного тома являются опциональными и не требуют явной активации. Сохраняются только файлы и папки, которые вы указали.
Открытие постоянного хранилища из других операционных систем
Можно открыть persistent том с других операционных систем. Но если так делать, это может скомпрометировать безопасность, обеспечиваемую Tails.
Например, другими операционными системами могут быть созданы и сохранены эскизы изображений. Или содержимое файлов может быть проиндексировано другой операционной системой.
Вероятно, не стоит доверять другим операционным системам работу с чувствительной информацией или не оставлению следов.
Создание постоянного хранилища
Важно: вы должны быть загружены с флешки для которой хотите настроить постоянное хранилище.
Для запуска помощника по работе с постоянным хранилищем, выберите Applications (Приложения) → Tails → Configure persistent volume:
Будет открыто окно, в которое нужно два раза ввести пароль — этот пароль вам нужно придумать и запомнить, поскольку если вы его забудете, то не сможете расшифровать файлы, помещённые в постоянное хранилище.
Чем длиннее пароль, тем труднее его взломать. Разработчики рекомендуют длинные парольные фразы, состоящие от пяти до семи случайных слов.
Нажмите кнопку Создать (Create):
Дождитесь завершения создания.
Программа-помощник покажет список возможных функций persistence. Каждая функция соответствует набору файлов или настроек для сохранения в зашифрованное хранилище.
Начать рекомендуется с активации только хранилища Personal Data (персональные данные). Позднее вы можете активировать больше пунктов в соответствии с вашими потребностями.
Когда всё будет готово, нажмите Save (Сохранить).
Изменения вступят в силу после перезагрузки компьютера. Поэтому перезапустите систему. При включении в приветственном окне станет доступным новый пункт. Если вы введёте верный пароль, то будет подключено постоянное хранилище. Вы также можете его не подключать, тогда загрузится обычная Live система.
Постоянное хранилище подключается только на текущую сессию (до перезагрузки компьютера). Сохраняются только файлы, помещённые в папку Persistent. Чтобы попасть в эту папку, нажмите Places (Места) и затем выберите Persistent.
Настройка постоянного хранилища
Для запуска помощника по работе с постоянным хранилищем, выберите Applications (Приложения) → Tails → Configure persistent volume.
Примечание: сообщение об ошибке Error, «Persistence partition is not unlocked.» означает, что persistent не был включён из Tails Greeter (приветственное окно Tails). Поэтому вы не можете настроить его, но вы можете удалить его и создать новое.
Функции и опции Persistence
Примечание: в настоящее время могут сохраняться только функции, которые здесь перечислены. Некоторые другие функции были запрошены и приняты разработчиками, но эти функции до сих пор дожидаются реализации: расширения браузера, обои, стандартная звуковая карта, настройки мыши и тачпада и прочее.
Помните: если вы отключили функцию, которая ранее была активирована, то она будет деактивирована после перезапуска Tails, но соответствующие файлы сохраняться на томе persistent.
Для удаления файлов, соответствующих функции:
- Запустите Tails и установите пароль администратора.
- Выберите Applications (Приложения) → System Tools (Системные инструменты) → Root Terminal для открытия терминала с административными правами.
- Выполните команду
для открытия файлового браузера с административными правами.
Либо просто в обычном терминале наберите:
sudo nautilus
- В файловом браузере перейдите в /live/persistence/TailsData_unlocked.
- Удалите папку, соответствующую функции для которой вы хотите удалить хранимые файлы:
Personal Data (Персональные файлы)
Когда активирована эта функция, вы можете сохранять ваши персональные файлы и рабочие документы в папку Persistent. Чтобы открыть эту папку выберите Places (Места) → Persistent.
Browser Bookmarks (Закладки браузера)
Когда активирована эта функция, изменения в закладка Tor Browser сохраняются на томе persistent. Это не применяется к Unsafe Browser.
Network Connections (Сетевые подключения)
Когда активирована эта функция, конфигурация сетевых устройств и соединений сохраняется на томе persistent.
Additional Software (Дополнительные программы)
Когда активирована эта функция, список дополнительных программ, которые вы выбрали, автоматически устанавливается каждый раз, когда вы запускаете Tails.
Соответствующие пакеты программ хранятся на томе persistent. Для безопасности они автоматически обновляются после установления сетевого соединения.
Пакеты, включённые в Tails, тщательно протестированы на безопасность. Установка дополнительных пакетов может нарушить встроенную в Tails безопасность, поэтому будьте осторожны с тем, что вы устанавливаете.
Printers (Принтеры)
Когда активирована эта функция, конфигурация принтеров сохраняется на томе persistent.
Thunderbird
Когда активирована эта функция, конфигурация и электронные письма хранятся email клиентом Thunderbird на томе persistent.
GnuPG
Когда активирована эта функция, OpenPGP ключи, которые вы создали или импортировали, хранятся на томе persistent.
Если вы вручную редактируете или переписываете конфигурационный файл ~/.gnupg/gpg.conf, то вы можете уменьшить свою анонимность, ослабить настройки шифрования по умолчанию или сделать GnuPG непригодным для использования.
Bitcoin Client (Клиент (кошелёк) Биткоин)
Когда активирована эта функция, кошелёк Bitcoin и настройки клиента Биткоин Electrum сохраняются на томе persistent
Pidgin
Когда активирована эта функция, в постоянном хранилище размещаются конфигурационные файлы Интернет-мессенджера Pidgin. К ним относятся:
- Конфигурация ваших аккаунтов, списка контактов и чатов.
- Ваши ключи шифрования OTR и keyring.
- Содержимое дискуссий не сохраняется если вы специально не настроили Pidgin делать это.
SSH Client (Клиент SSH)
Когда активирована эта функция, все файлы, относящиеся к клиенту безопасного шелла (secure-shell) сохраняются в persistent:
- SSH ключи которые вы создали или импортировали
- Публичные ключи хостов к которым вы подключались
- Конфигурационный файл SSH ~/.ssh/config
Dotfiles (Дотфайлы)
Когда активирована эта функция, все файлы в папке /live/persistence/TailsData_unlocked/dotfiles подсоединены ссылками к Домашней папке. Файлы в подпапках дотфайлов также привязаны к соответствующим подпапкам вашей Домашней папки.
Например, имеются следующие файлы в /live/persistence/TailsData_unlocked/dotfiles:
/live/persistence/TailsData_unlocked/dotfiles
├── file_a
├── folder
│ ├── file_b
│ └── subfolder
│ └── file_c
└── emptyfolder
Это приводит к тому, что в /home/amnesia:
/home/amnesia
├── file_a → /live/persistence/TailsData_unlocked/dotfiles/file_a
└── folder
├── file_b → /live/persistence/TailsData_unlocked/dotfiles/folder/file_b
└── subfolder
└── file_c →
/live/persistence/TailsData_unlocked/dotfiles/folder/subfolder/file_c
Эта опция полезна если вы хотите сделать постоянными некоторые определённые файлы, но не папку, в которой они размещены. Хороший пример так называемых дотфайлов (отсюда и название этой функции) это скрытые конфигурационные файлы в корне вашей домешней директории, такие как ~/.gitconfig и ~/.bashrc.
Как вы можете видеть в предыдущем примере, пустые папки игнорируются. Эта функция только связывает файлы, но не папки, из тома persistent в Домашнюю (Home) папку.
Сохранение конфигураций мониторов
Если у вас больше чем один дисплей (например, два монитора или проектор), вы можете сохранить конфигурации ваших дисплеев используя функцию Дотфайлов.
- Активируйте функцию Дотфайлов и перезапустите Tails.
- Выберите System Tools → Settings → Displays.
- Настройте ваши дисплеи.
- Откройте в файловом менеджере /live/persistence/TailsData_unlocked/dotfiles.
- Выберите Menu (Меню) → Show Hidden Files (Показывать скрытые файлы).
- Создайте папку с названием .config (config перед которой стоит точка).
- Скопируйте файл .config/monitors.xml из вашей Домашней папки в /live/persistence/TailsData_unlocked/dotfiles/.config.
Подключение и использование постоянного хранилища
После создания постоянного хранилища, при запуске Tails на приветственном экране (там, где можно выбрать язык), появится новое поле «Encrypted Persistent Storage» - в него нужно ввести пароль от раздела persistent и нажать Unlock:
Для использования постоянного хранилища, откройте папку Persistent, в неё попасть можно выбрав Places (Места) → Persistent. Здесь вы можете хранить персональные папки и рабочие документы — они будут сохраняться после перезагрузки.
Для продвинутых пользователей, для доступа во внутреннее содержимое постоянного хранилища выберите Places (Места) → Computer (Компьютер) для открытия папок live → persistence → TailsData_unlocked.
Изменение пароля постоянного хранилища
- Запустите Tails и задайте пароль администратора.
- Не активируйте persistent том в приветственном окне Tails.
- Откройте программу Disks из меню Applications (Приложения) → Utilities (Утилиты) → Disks.
- Disks выведет список текущих устройств хранения в левой панели окна. Когда вы выберите одно из этих устройств, о нём в правой панели будет отображена подробная информация: его разделы, брэнд, размер и прочее.
- Найдите то устройство, которое содержит том persistent. Оно должно иметь два раздела, один обозначен как Tails, а другой обозначен как TailsData, этот второй соответствует постоянному хранилищу.
- В правой панели кликните на том раздела постоянного хранилища обозначенного как TailsData.
- Вызовете в Disks контекстное меню
- и выберите Change Passphrase… (Поменять пароль).
- Введите ваш текущий пароль от постоянного хранилища и затем дважды введите новый пароль.
- Наконец подтвердите кликнув на Change (Изменить).
- В диалоговом коне подтверждения, введите ваш пароль администратора и кликните Authenticate.
- Теперь вы можете перезапустить Tails и попытаться включить том persistent с его новым паролем.
Ручное копирование данных с постоянного хранилища на новую USB флешку
Эти инструкции объясняют, как вручную скопировать ваши хранимые данные на новую USB флешку. Следуйте им если у вас есть серьёзные причины думать, что ваши хранимые настройки повреждены или если вы хотите быть очень аккуратным с вашими хранимыми данными.
Создайте новую USB флешку с Tails
- Установите последнюю Tails на новую USB флешку, используя обычные инструкции по установке. В процессе новой установки не используйте флешку Tails USB, если есть основание думать, что она повреждена.
- Создайте постоянное хранилище на новой USB флешке. Мы рекомендуем использовать другой пароль для защиты нового тома persistent.
- Вновь включите на этой новой USB флешке функции persistence по своему выбору.
- Перезапустите новую USB флешку, включите раздел persistence и установите пароль администратора.
Спасание файлов из старой флешки Tails USB
Для начала, смонтируйте старый том persistent.
- Подключите старую Tails USB флешку с который вы хотите спасти ваши данные.
- Выберите Applications → Utilities → Disks чтобы открыть GNOME Disks.
- В левой панели, кликните на USB флешку, соответствующую старой установке Tails USB.
- В правой панели, кликните на раздел помеченный как LUKS. Имя раздела должно быть TailsData.
- Кликните кнопку
- Unlock (Разблокировка) для разблокировки старого тома persistent. Введите пароль старого тома persistent и нажмите Unlock.
- Кликните на раздел TailsData, который появится под разделом LUKS.
- Кликните на кнопку
- Mount (Монтировать). Старый раздел persistent теперь смонтировано как /media/amnesia/TailsData.
Проверка файловой системы постоянного хранилища
При редких обстоятельствах вам может потребоваться выполнить проверку файловой системы для исправления дефектного тома persistent.
Разблокировка тома persistent...
- Запустите Tails с отключённым постоянным хранилищем и установите пароль администратора.
- Выберите Applications (Приложения) → Utilities (Утилиты) → Disks чтобы открыть GNOME Disks.
- В левой панели кликните на устройство, соответствующее вашей флешке Tails USB.
- В правой панели кликните на раздел отмеченный как TailsData LUKS.
- Кликните на кнопку
- Unlock (Разблокировка) для разблокировки постоянного хранилища. Введите пароль тома persistent и кликните Unlock (Разблокировать).
- В диалоговом окне подтверждения, введите ваш пароль администратора и кликните Authenticate.
- Кликните на раздел TailsData Ext4 который появится под разделом TailsData LUKS.
- Идентифицируйте имя Устройства вашего тома persistent которое появится под списком томов. Оно должно выглядеть как /dev/mapper/luks-xxxxxxxx. Трижды кликните для выбора и нажмите Ctrl+C для копирования его (имени) в буфер обмена.
Проверка файловой системы используя терминал
- Выберите Applications (Приложения) → System Tools (Системные инструменты) → Root Terminal и введите ваш пароль администратора для открытия терминала с правами root.
- В терминале выполните следующую команду, заменив [устройство] на имя устройства, найденное на шаге 8:
Чтобы это сделать, вы можете набрать fsck -y и нажать Shift+Ctrl+V для вставки имени из буфера обмена.
- Если в файловой системе нет ошибок, последняя строка вывода fsck будет начинаться с TailsData: clean.
Удаление постоянного хранилища
- Запустите Tails с USB флешки, на которой вы хотите удалить постоянное хранилище.
- Не включайте том persistent в приветственном окне Tails.
- Выберите Applications (Приложения) → Tails → Delete persistent volume.
- Кликните Delete (Удалить).
Надёжное удаление постоянного хранилища
Предыдущая техника не препятствует атакующему восстановить файлы в старом хранилище используя техники восстановления данных. Для надёжного удаления раздела persistent, запустите Tails с другой USB флешки или DVD и выполняйте следующие операции на USB флешке с которой вы хотите сделать надёжное удаление:
- Отформатируйте USB флешку и создайте единый зашифрованный раздел на целом USB диске. Этот шаг удалит и Tails, и том persistent.
- Безопасно очистите всё доступное дисковое пространство на этом новом зашифрованном разделе.
- Переустановите Tails на этот USB диск.
- Запустите Tails с USB флешки и создайте новый том persistent.
