Tails — всё на одной флешке
Tails – ОС созданная для обеспечения приватности и анонимности. Все исходящие соединения заворачиваются в анонимную сеть Tor, а все неанонимные блокируются. Не оставляет следов на устройстве с которого используется, не хранит никаких данных и после каждой перезагрузки возвращается в первозданный вид за исключением шифрованного раздела (Persistent). Работает с флешки.
-
Tor Browser – с ещё большей защитой
-
Pidgin – jabber+OTR
-
Electrum – легкий клиент для Bitcoin
-
KeePassX – хранитель паролей
-
GPG – система асиммитричного шифрования
-
MAT – удаление метаданных из различных типов данных
-
Программы для редактирования документов\фото\аудио\видео, I2P, Claws Mail и т.д.
-
Легко поставить Psi или Psi+ (jabber+GPG)
-
Шифрованный контейнер создаётся в 2 клика
-
После выключения затирается оперативная память
Обновления выходят примерно раз в 45 дней, обновляться обязательно!
-
Качаем ISO образ, желательно сверять подпись образа
-
Берём флешку (только не SanDisk) от 8 Гб, рекомендую брать тонкую, которую сможете разломать одним движением, и вторую флешку не меньше 1 Гб (она нужна минут на 10) или чистый DVD-диск вместо неё
-
Скачанный образ пишем на диск или на вторую флешку (например из Windows, Rufus, Win32 Disk Imager или UltraISO)
-
Заходим в BIOS и ставим - boot priority – первой строкой DVD\USB flash
-
Загружаемся с диска или второй флешки
-
Входим в Tails » задаём root пароль » Приложения » Tails » Tails Installer » Клонировать и Установить » [выбираем нашу главную флешку] » Установить Tails
-
Теперь грузиться будем со свежесозданной флешки, вторая флешка или диск больше не нужны
Теперь сделаем криптоконтейнер для хранения своих данных, файлов, настроек, закладок и т.д. Забудьте TrueCrypt, здесь он создаётся простым кликом.
-
Загружаемся в Tails, задав root пароль.
-
Идём в Приложения » Tails » Configure persistent volume » [задаём сложный пароль] » [ставим все галки] » [Ждём]
Теперь наш шифрованный контейнер создан. Снова перезагружаемся и включаем Persistent.
В папке Persistent храним все данные (во всех остальных папках в т.ч. на рабочем столе после перезагрузки все файлы исчезают!), в KeePassX записываем и им же генерируем все пароли и ставим 1 сложный пароль на вход, базу с паролями храним на Persistent (дополнительно держим backup где-то ещё), заходим в Electrum и создаем кошелёк (нужно записать и сохранить ключевые слова и пароль!) на вкладке "Получение" отобразятся ваши адреса для получения монет Bitcoin, импортируем свои закладки в Tor Browser, аккаунты почты в Icedove, аккаунты jabber в Pidgin (в нём только OTR шифрование).
Нам не хватает только jabber с GPG шифрованием.
Открываем терминал
sudo -i
У вас спросят root пароль, который вы задавали при входе, введите его и затем введите команду ниже:
apt-get update && apt-get install psi-plus-common psi-plus psi-plus-plugins psi-plus-sounds psi-plus-l10n libqca2-plugin-ossl libqca2-plugin-gnupg -y
Затем опять в терминале
gedit /live/persistence/TailsData_unlocked/live-additional-software.conf
И в открывшейся файл вставляем текст:
psi-plus-common
psi-plus
psi-plus-plugins
psi-plus-sounds
psi-plus-l10n
libqca2-plugin-ossl
libqca2-plugin-gnupg
Сохраняем и закрываем. Теперь Psi+ установлен и не исчезнет после перезагрузки.
Есть 2 пути:
1) Взять уже собранный архив с нужными настройками, скриптом и просто распаковать его. Можете сверить контрольные суммы/проверить антивирусами каждый файл, чтобы убедиться, что я ничего не подменил.
Распакуем архив на Persistent, у нас получится так:
Persistent/1/gpg4usb – это программа gpg4usb
Persistent/1/gpg4usb/keydb – здесь должны лежать ваши ключи: secring.gpg – секретные, pubring.gpg – публичные. Как создать/импортировать?
Persistent/1/Psi+ – папка с файлами настроек Psi+
Persistent/1/Psi+.sh – скрипт для запуска Psi+GPG
Теперь:
- создать/импортировать ключи в gpg4usb
- запускать по скрипту Psi+.sh
- в настройках аккаунта (кнопка с лампочкой) вписать свой jabber адрес (JID), выбрать Секретный ключ (ищи пункт здесь)
- выбрать статус "Доступен", ввести пароль от аккаунта и от ключа
Всё!
Через сверку контрольной суммы вы можете убедиться, что скачали именно мой архив и никто не подменил его по пути. Проверяется в Tails так: открываем Свойства архива » Дайджесты » Хэш
Значения указанные ниже должны совпасть с теми, что укажутся у вас:
MD5: 181cd5af9af7dd7969514b534399a314
SHA-1: 5899b74bcb6ae0cc0b5660e8026c3a30d67e283c
SHA-256: 76d5f7aeeef4467b4e391c35211a0c038f52c4c27d3f7169938ef9b4af3b1983
Если совпали, значит это архив выложенный мной.
- запрет видимости вашего часового пояса, ОС, версии клиента
- уже прописан Tor Browser в прокси-сервер
- уже включены плагины: OTR, ImagePlugin (можно вставлять картинки прямо в чат и конференцию)
- автоматическое включение GPG, нет нужды жать на замок
- нормальные панели в ростере и чате
- экспорт и импорт Публичных ключей одной кнопкой (рекомендуется всё же брать ключ с Сервера ключей)
- множество настроек самой Psi+ для удобства: автоматич. авторизация контактов, откл. история, vcard и т.д.
- убрано лишнее из gpg4usb, если вы планируете запускать его и из Windows (не рекомендую) скачайте файл start_windows.exe
Всё это вы можете сделать и сами, если есть время и желание или взять готовое.
2) Собирать и настраивать самому по инструкции.
В папке Persistent создаём папку с любым названием, например "1", в неё распакуем программу gpg4usb и создадим там скрипт, должно получиться так:
Persistent/1/gpg4usb – это распакованная программа gpg4usb
Persistent/1/gpg4usb/keydb – здесь должны лежать ваши ключи: secring.gpg – секретные, pubring.gpg – публичные. Как создать/импортировать?
Persistent/1/Psi+ – папка с файлами настроек Psi+, она создастся сама по первому запуску скрипта
Persistent/1/Psi+.sh – скрипт для запуска Psi+GPG
Нажимаем Создать новый документ -> Пустой документ -> открываем, вводим:
#!/bin/sh
HERE="$(dirname "$(readlink -f "${0}")")"
export GNUPGHOME="$HERE/gpg4usb/keydb"
export PSIPLUSDATADIR="$HERE/Psi+"
export PSIDATADIR="$HERE/Psi+"
psi-plus --profile=default "$@" &
Сохраняем. Переименовываем файл в Psi+.sh, в свойствах разрешаем выполнение.
- создать/импортировать ключи в gpg4usb
- запускать по скрипту Psi+.sh
- в настройках аккаунта (кнопка с лампочкой) вписать свой jabber адрес (JID), выбрать Секретный ключ (ищи пункт здесь)
- на вкладке "Соединение" » Прокси-сервер » Изменить » Создать » SOCKS Version 5 » Сервер: 127.0.0.1 » Порт: 9150
- выбрать статус "Доступен", ввести пароль от аккаунта и от ключа
Всё!
Cоветую зайти в настройки, сделать некоторые правки/активировать плагины, см. пункт в конце статьи.
Всё готово к работе.
Остальное про Jabber см. здесь.
В порядке возрастания приоритета.
1. Подключить Ethernet кабель проводного интернета, заработает сам собой. Не рекомендуется т.к. договор с провайдером скорее всего оформлен на ваши данные.
2. Купить 3G/4G модем, устройство и sim-карта обязательно должны быть оформлены на "левые" данные. Воткнув в USB 3G/4G модем может не заработать, кроме того это не безопасно. Модем и SIM-карта закрытые системы, своеобразные чёрные ящики, доверия им никакого. Кому "очень надо" идём на 4pda ищем свой модем, ставим стороннюю прошивку, должно заработать.
3. Подключить модем в роутер и связаться с ним по Wi-Fi, так будет безопасно в отличии от связи по USB. На роутер желательно поставить стороннюю открытую прошивку, как это сделать ищем на 4pda. Помните, ваш роутер и его mac-адрес видят соседские устройства, которые тут же сливают эту информацию в Google и Яндекс.
4. Самый паранойный вариант: модем на "левые" данные + роутер с открытой сторонней прошивкой (openwrt, dd-wrt и т.д.) + подключение по Ethernet кабелю, отключенные Wi-Fi + подключение к VPN серверу прямо с роутера (VPN=>Tor).
-
Во время ввода пароля в терминале символы не отображаются, но он вводится, проверяйте раскладку если верный пароль не подходит
-
Во время входа обратите внимание на кнопку "Подмена всех MAC-адресов", если у вас нет доступа в Сеть, то скорее всего ваш модуль Wi-Fi не может работать с изменённым адресом, перезагрузитесь и отключите опцию
-
Настоятельно рекомендую купить недорогой ноутбук, удалить из него камеру/микрофон/жёсткий диск
-
Если пароль к Persistent хранилищу не подходит, убедитесь что вводите его на нужной раскладке
-
Рекомендую создать флешку-копию, если одна из них выйдет из строя, у вас сохранятся важные данные
-
У Tor Browser есть чтение и запись только в 2 папки, они есть в закладках проводника:
- Tor Browser
- Tor Browser (Persistent)
download/upload файлов возможны только в/из неё -
Если вы не можете найти какой-то файл убедитесь, что включили отображение скрытых файлов в проводнике
-
Mac-адрес меняется командой macchanger, на примере модуля Wi-Fi
ifconfig wlan0 down macchanger wlan0 -r ifconfig wlan0 upУбедитесь, что верно выбрали устройство, встроенные Wi-Fi модули могут не работать после изменения
-
Установка дополнительных программ производится также как Psi+, командой из терминала или через Synaptic.
Для того чтобы программы не исчезали после перезагрузки, необходимо прописать название пакета, как и в случае Psi+, в терминале от root выполняем:gedit /live/persistence/TailsData_unlocked/live-additional-software.confи отдельной строчкой вписываем название программы
-
Настройки программ осуществляются переносом конфигов в папку /dotfiles, находящуюся на Persistent-разделе, на примере KeePassX: настраиваем как хотим, затем копируем папку с файлами
/home/amnesia/.config/keepassxв папку
/live/persistence/TailsData_unlocked/dotfilesчтобы у нас получилось
/live/persistence/TailsData_unlocked/dotfiles/.config/keepassxЭто называется скопировать с путём
-
Для смены обоев: выбираем обои стандартным способом и после этого копируем файл /home/amnesia/.config/dconf/user с путём в /dotfiles
В этом же файле находятся настройки экрана, мышки, тачпада, клавиатуры, значков на панели и т.д. -
Для запуска скриптов из проводника идём в Nautilus » Параметры » Поведение » Запускать исполняемые текстовые файлы при открытии. Чтобы при перезагрузке осталась эта настройка копируем файл /home/amnesia/.config/dconf/user с путём в /dotfiles
Если требуется, открываем терминал, вводим или вставляем команды:
sudo -i
У вас спросят root пароль, который вы задавали при входе, введите его, затем вставляем команды по очереди:
mkdir /live/persistence/TailsData_unlocked/etc
cp -rv /etc/tor /live/persistence/TailsData_unlocked/etc
echo "/etc/tor source=etc/tor" >> /live/persistence/TailsData_unlocked/persistence.conf
gedit /live/persistence/TailsData_unlocked/etc/tor/torrc
В любом месте вставляем строки в текст:
ExcludeNodes {ru},{by},{ua},{kz},{az},{am},{kg},{md},{tm},{uz}
ExcludeExitNodes {??},{ru},{by},{ua},{kz},{az},{am},{kg},{md},{tm},{uz}
Сохраняем и перезагружаемся.
Если требуется, открываем терминал, вводим или вставляем команды:
sudo -i
У вас спросят root пароль, который вы задавали при входе, введите его, затем вставляем команды по очереди:
cd /live/persistence/TailsData_unlocked
cp -r /etc/skel/.tor-browser tor-browser
chown -R amnesia:amnesia tor-browser
echo "/home/amnesia/.tor-browser source=tor-browser" >> /live/persistence/TailsData_unlocked/persistence.conf
Перезагружаемся. Настраиваем браузер. При следующих загрузках настройки останутся.
Материал в большей степени взят отсюда и доработан, а также:
https://www.reddit.com/r/sohhlz/wiki/index/persistence
https://tails.boum.org/doc/index.en.html
https://tails.boum.org/support/faq/index.en.html
