Руководство по Tails (часть 2): сохранение файлов (Persistence)

Предыдущая часть «Руководство по Tails (часть 1): описание, установка и пароль администратора».

Полное оглавление

1. Операционная система для анонимности

2. Установка и загрузка Tails

3. Как запускать команды от root в Tails. Как использовать sudo в Tails. Какой в Tails пароль по умолчанию для root / администратора

4. Persistence в Tails

4.1 Почему в Tails не сохраняются настройки? Как сохранять файлы в Tails

4.2 Зашифрованное постоянное хранилище Tails (persistence)

4.3 Предупреждения о постоянном хранилище

4.4 Создание постоянного хранилища

4.5 Настройка постоянного хранилища

4.6 Подключение и использование постоянного хранилища

4.7 Изменение пароля постоянного хранилища

4.8 Ручное копирование данных с постоянного хранилища на новую USB флешку

4.9 Проверка файловой системы постоянного хранилища

4.10 Удаление постоянного хранилища

5. Программы в Tails

6. Подсказки по использованию и инструкции Tails

7. Решение проблем Tails

---

Persistence в Tails

Почему в Tails не сохраняются настройки? Как сохранять файлы в Tails

Tails — это Live система, то есть она записывается на носитель таким образом, что изменения в файловую систему не сохраняются. Если вы делаете какие-то настройки системы (можно даже обновить пакеты), то все они держаться в оперативной памяти и после перезагрузки системы полностью пропадают.

Если вы работаете с ISO (оптического диска), то вы можете использовать для сохранения файлов другие носители, а настройки системы сохранять не получится. Но если вы запускаете Tails с флешки, то можно настроить persistence — то есть постоянное хранилище.

Если вы работали с persistence томами на других дистрибутивах Linux, то там это происходит так: с технической точки зрения persistence отличается от работы операционной системы установленной на обычный диск. В случае обычной установки, операционная система создаёт новые файлы и удаляет ненужные с диска. В случае же с persistence, система всегда остаётся Live системой — то есть она записана на раздел, в который невозможно внести изменений, то есть невозможно записать или удалить файл. Но подключается новый раздел (тот самый persistence), на который можно записывать файлы. В результате, даже если вы обновляете систему, то исходный Live раздел не меняется — изменения записываются на persistence. При работе ОС каждый раз вычисляет результирующую: Live раздел + изменения внесённые на persistence. У этого есть плюсы и минусы. Плюс в том, что нам в принципе становится доступной сохранять настройки и файлы. Также Live раздел занимает меньше места чем полноценная установленная система. И ещё — можно запустить систему без persistence — получится Live система в её исходном состоянии.

В Tails persistence работает иначе: если вы установили новую программу, то вместо «бесшовной» работы с этой программой каждый раз, когда активирован persistence, в Tails эта программа заново устанавливается при каждой загрузке системы. Сделанные обновления и настройки системы просто не сохраняются. Если коротко: в persistence у Tails сохраняется только то, что предусмотрели разработчики. В то время как у других дистрибутивов Linux в persistence сохраняются практически все сделанные в системе изменения — как у обычной установки Linux.

---

Зашифрованное постоянное хранилище Tails (persistence)

Если вы запускаете Tails с USB флешки, вы можете на свободном пространстве карты памяти USB создать том с постоянным хранилищем. Файлы на таком томе хранятся зашифрованными и остаются доступными и после перезагрузки системы.

Это можно сделать только если Tails установлена на USB флешку (а не на оптический диск) и если объём этой флешки минимум 8 GB.

Этот том persistent может использоваться для хранения следующего:

• Личных файлов
• Настроек
• Дополнительного программного обеспечения
• Ключей шифрования

Том persistent — это зашифрованный раздел, защищённый паролем.

После создания раздела persistent, каждый раз при старте Tails вы можете выбирать — активировать его или нет.

Использование постоянного хранилища на системе, предназначенной для обеспечения анонимности и не оставлять следы, это довольно сложный вопрос, поэтому начнём с предупреждений.

---

Предупреждения о постоянном хранилище

Хранение чувствительных документов

Том persistent не является скрытым. Атакующий при завладении вашей USB флешкой может узнать, что на ней есть постоянное хранилище. Имейте в виду, что пароль может быть вызнан под принуждением или обманом.

Ниже также будет инструкция по безопасному удалению постоянного тома.

Переписывание конфигураций

Программы, включённые в Tails, тщательно настроены с учётом безопасности. Если вы используете том persistence для перезаписи конфигураций программ включённых в Tails, это может нарушить безопасность или сделать эти программы непригодными для использования.

Будьте особенно осторожны используя возможности Dotfiles (о них ниже).

Более того, для анонимности Tor и Tails они полагаются на то, что все установленные системы у разных пользователей идентичны, то есть затруднено различие одного пользователя Tails от других. Изменение стандартных конфигураций может нарушить вашу анонимность — то есть вы сделаете вашу систему в чём-то более уникальной, отличной от других Tails.

Установка дополнительных программ

Для защиты вашей анонимности и не оставления следов, разработчики Tails отобрали и тщательно настроили программы которые хорошо работают вместе. Установка дополнительных программ может привнести неожиданные проблемы и может нарушить встроенные в Tails защиты.

Плагины браузера

Веб-браузер — это центральная часть систем таких как Tails. Плагины включённые в браузер тщательно отобраны и настроены с учётом безопасности. Если вы установите другие плагины или измените их настройки, вы можете нарушить анонимность.

Используйте по минимуму

Сведите к минимуму использование постоянного хранилища, делайте это только когда необходимо. Всегда можно запустить Tails без активации тома persistent. Все возможности постоянного тома являются опциональными и не требуют явной активации. Сохраняются только файлы и папки, которые вы указали.

Открытие постоянного хранилища из других операционных систем

Можно открыть persistent том с других операционных систем. Но если так делать, это может скомпрометировать безопасность, обеспечиваемую Tails.

Например, другими операционными системами могут быть созданы и сохранены эскизы изображений. Или содержимое файлов может быть проиндексировано другой операционной системой.

Вероятно, не стоит доверять другим операционным системам работу с чувствительной информацией или не оставлению следов.

---

Создание постоянного хранилища

Важно: вы должны быть загружены с флешки для которой хотите настроить постоянное хранилище.

Для запуска помощника по работе с постоянным хранилищем, выберите Applications (Приложения) → Tails → Configure persistent volume:

Будет открыто окно, в которое нужно два раза ввести пароль — этот пароль вам нужно придумать и запомнить, поскольку если вы его забудете, то не сможете расшифровать файлы, помещённые в постоянное хранилище.

Чем длиннее пароль, тем труднее его взломать. Разработчики рекомендуют длинные парольные фразы, состоящие от пяти до семи случайных слов.

Нажмите кнопку Создать (Create):

Дождитесь завершения создания.

Программа-помощник покажет список возможных функций persistence. Каждая функция соответствует набору файлов или настроек для сохранения в зашифрованное хранилище.

Начать рекомендуется с активации только хранилища Personal Data (персональные данные). Позднее вы можете активировать больше пунктов в соответствии с вашими потребностями.

Когда всё будет готово, нажмите Save (Сохранить).

Изменения вступят в силу после перезагрузки компьютера. Поэтому перезапустите систему. При включении в приветственном окне станет доступным новый пункт. Если вы введёте верный пароль, то будет подключено постоянное хранилище. Вы также можете его не подключать, тогда загрузится обычная Live система.

Постоянное хранилище подключается только на текущую сессию (до перезагрузки компьютера). Сохраняются только файлы, помещённые в папку Persistent. Чтобы попасть в эту папку, нажмите Places (Места) и затем выберите Persistent.

---

Настройка постоянного хранилища

Для запуска помощника по работе с постоянным хранилищем, выберите Applications (Приложения) → Tails → Configure persistent volume.

Примечание: сообщение об ошибке Error, «Persistence partition is not unlocked.» означает, что persistent не был включён из Tails Greeter (приветственное окно Tails). Поэтому вы не можете настроить его, но вы можете удалить его и создать новое.

Функции и опции Persistence

Примечание: в настоящее время могут сохраняться только функции, которые здесь перечислены. Некоторые другие функции были запрошены и приняты разработчиками, но эти функции до сих пор дожидаются реализации: расширения браузера, обои, стандартная звуковая карта, настройки мыши и тачпада и прочее.

Помните: если вы отключили функцию, которая ранее была активирована, то она будет деактивирована после перезапуска Tails, но соответствующие файлы сохраняться на томе persistent.

Для удаления файлов, соответствующих функции:

1. Запустите Tails и установите пароль администратора.
2. Выберите Applications (Приложения) → System Tools (Системные инструменты) → Root Terminal для открытия терминала с административными правами.
3. Выполните команду

nautilus

для открытия файлового браузера с административными правами.

Либо просто в обычном терминале наберите:

sudo nautilus

4. В файловом браузере перейдите в /live/persistence/TailsData_unlocked.
5. Удалите папку, соответствующую функции для которой вы хотите удалить хранимые файлы:

 Personal Data (Персональные файлы)

Когда активирована эта функция, вы можете сохранять ваши персональные файлы и рабочие документы в папку Persistent. Чтобы открыть эту папку выберите Places (Места) → Persistent.

 Browser Bookmarks (Закладки браузера)

Когда активирована эта функция, изменения в закладка Tor Browser сохраняются на томе persistent. Это не применяется к Unsafe Browser.

 Network Connections (Сетевые подключения)

Когда активирована эта функция, конфигурация сетевых устройств и соединений сохраняется на томе persistent.

 Additional Software (Дополнительные программы)

Когда активирована эта функция, список дополнительных программ, которые вы выбрали, автоматически устанавливается каждый раз, когда вы запускаете Tails.

Соответствующие пакеты программ хранятся на томе persistent. Для безопасности они автоматически обновляются после установления сетевого соединения.

Пакеты, включённые в Tails, тщательно протестированы на безопасность. Установка дополнительных пакетов может нарушить встроенную в Tails безопасность, поэтому будьте осторожны с тем, что вы устанавливаете.

 Printers (Принтеры)

Когда активирована эта функция, конфигурация принтеров сохраняется на томе persistent.

 Thunderbird

Когда активирована эта функция, конфигурация и электронные письма хранятся email клиентом Thunderbird на томе persistent.

 GnuPG

Когда активирована эта функция, OpenPGP ключи, которые вы создали или импортировали, хранятся на томе persistent.

Если вы вручную редактируете или переписываете конфигурационный файл ~/.gnupg/gpg.conf, то вы можете уменьшить свою анонимность, ослабить настройки шифрования по умолчанию или сделать GnuPG непригодным для использования.

 Bitcoin Client (Клиент (кошелёк) Биткоин)

Когда активирована эта функция, кошелёк Bitcoin и настройки клиента Биткоин Electrum сохраняются на томе persistent

 Pidgin

Когда активирована эта функция, в постоянном хранилище размещаются конфигурационные файлы Интернет-мессенджера Pidgin. К ним относятся:

• Конфигурация ваших аккаунтов, списка контактов и чатов.
• Ваши ключи шифрования OTR и keyring.
• Содержимое дискуссий не сохраняется если вы специально не настроили Pidgin делать это.

Все опции настройки доступны из графического интерфейса. Нет необходимости вручную редактировать или перезаписывать конфигурационные файлы.

 SSH Client (Клиент SSH)

Когда активирована эта функция, все файлы, относящиеся к клиенту безопасного шелла (secure-shell) сохраняются в persistent:

• SSH ключи которые вы создали или импортировали
• Публичные ключи хостов к которым вы подключались
• Конфигурационный файл SSH ~/.ssh/config

Если вы вручную редактируете конфигурационный файл ~/.ssh/config, убедитесь, что не перезаписываете стандартную конфигурацию из файла /etc/ssh/ssh_config. В противном случае вы можете ослабить стандартное шифрование или довести SSH до неработоспособности.

 Dotfiles (Дотфайлы)

Когда активирована эта функция, все файлы в папке /live/persistence/TailsData_unlocked/dotfiles подсоединены ссылками к Домашней папке. Файлы в подпапках дотфайлов также привязаны к соответствующим подпапкам вашей Домашней папки.

Например, имеются следующие файлы в /live/persistence/TailsData_unlocked/dotfiles:

/live/persistence/TailsData_unlocked/dotfiles
├── file_a
├── folder
│   ├── file_b
│   └── subfolder
│       └── file_c
└── emptyfolder

Это приводит к тому, что в /home/amnesia:

/home/amnesia
├── file_a → /live/persistence/TailsData_unlocked/dotfiles/file_a
└── folder
    ├── file_b → /live/persistence/TailsData_unlocked/dotfiles/folder/file_b
    └── subfolder
        └── file_c → /live/persistence/TailsData_unlocked/dotfiles/folder/subfolder/file_c

Эта опция полезна если вы хотите сделать постоянными некоторые определённые файлы, но не папку, в которой они размещены. Хороший пример так называемых дотфайлов (отсюда и название этой функции) это скрытые конфигурационные файлы в корне вашей домешней директории, такие как ~/.gitconfig и ~/.bashrc.

Как вы можете видеть в предыдущем примере, пустые папки игнорируются. Эта функция только связывает файлы, но не папки, из тома persistent в Домашнюю (Home) папку.

Сохранение конфигураций мониторов

Если у вас больше чем один дисплей (например, два монитора или проектор), вы можете сохранить конфигурации ваших дисплеев используя функцию Дотфайлов.

1. Активируйте функцию Дотфайлов и перезапустите Tails.
2. Выберите System Tools → Settings → Displays.
3. Настройте ваши дисплеи.
4. Откройте в файловом менеджере /live/persistence/TailsData_unlocked/dotfiles.
5. Выберите Menu (Меню) → Show Hidden Files (Показывать скрытые файлы).
6. Создайте папку с названием .config (config перед которой стоит точка).
7. Скопируйте файл .config/monitors.xml из вашей Домашней папки в /live/persistence/TailsData_unlocked/dotfiles/.config.

---

Подключение и использование постоянного хранилища

После создания постоянного хранилища, при запуске Tails на приветственном экране (там, где можно выбрать язык), появится новое поле «Encrypted Persistent Storage» — в него нужно ввести пароль от раздела persistent и нажать Unlock:

Для использования постоянного хранилища, откройте папку Persistent, в неё попасть можно выбрав Places (Места) → Persistent. Здесь вы можете хранить персональные папки и рабочие документы — они будут сохраняться после перезагрузки.

Для продвинутых пользователей, для доступа во внутреннее содержимое постоянного хранилища выберите Places (Места) → Computer (Компьютер) для открытия папок live → persistence → TailsData_unlocked.

---

Изменение пароля постоянного хранилища

1. Запустите Tails и задайте пароль администратора. 
   Не активируйте persistent том в приветственном окне Tails.
2. Откройте программу Disks из меню Applications (Приложения) → Utilities (Утилиты) → Disks.
   Disks выведет список текущих устройств хранения в левой панели окна. Когда вы выберите одно из этих устройств, о нём в правой панели будет отображена подробная информация: его разделы, брэнд, размер и прочее.
3. Найдите то устройство, которое содержит том persistent. Оно должно иметь два раздела, один обозначен как Tails, а другой обозначен как TailsData, этот второй соответствует постоянному хранилищу.
4. В правой панели кликните на том раздела постоянного хранилища обозначенного как TailsData.
5. Вызовете в Disks контекстное меню  и выберите Change Passphrase… (Поменять пароль).
6. Введите ваш текущий пароль от постоянного хранилища и затем дважды введите новый пароль.
7. Наконец подтвердите кликнув на Change (Изменить).
8. В диалоговом коне подтверждения, введите ваш пароль администратора и кликните Authenticate.
9. Теперь вы можете перезапустить Tails и попытаться включить том persistent с его новым паролем.

---

Ручное копирование данных с постоянного хранилища на новую USB флешку

Эти инструкции объясняют, как вручную скопировать ваши хранимые данные на новую USB флешку. Следуйте им если у вас есть серьёзные причины думать, что ваши хранимые настройки повреждены или если вы хотите быть очень аккуратным с вашими хранимыми данными.

Создайте новую USB флешку с Tails

1. Установите последнюю Tails на новую USB флешку, используя обычные инструкции по установке. В процессе новой установки не используйте флешку Tails USB, если есть основание думать, что она повреждена.
2. Создайте постоянное хранилище на новой USB флешке. Мы рекомендуем использовать другой пароль для защиты нового тома persistent.
3. Вновь включите на этой новой USB флешке функции persistence по своему выбору.
4. Перезапустите новую USB флешку, включите раздел persistence и установите пароль администратора.

Спасание файлов из старой флешки Tails USB

Смонтируйте старый том persistent

1. Подключите старую Tails USB флешку с который вы хотите спасти ваши данные.
2. Выберите Applications → Utilities → Disks чтобы открыть GNOME Disks.
3. В левой панели, кликните на USB флешку, соответствующую старой установке Tails USB.
4. В правой панели, кликните на раздел помеченный как LUKS. Имя раздела должно быть TailsData.
5. Кликните кнопку  Unlock (Разблокировка) для разблокировки старого тома persistent. Введите пароль старого тома persistent и нажмите Unlock.
6. Кликните на раздел TailsData, который появится под разделом LUKS.
7. Кликните на кнопку  Mount (Монтировать). Старый раздел persistent теперь смонтировано как /media/amnesia/TailsData.

Копирование старых файлов на новый раздел persistent.

1. Выберите Applications (Приложения) → System Tools (Системные инструменты) → Root Terminal чтобы открыть терминал с привилегиями администратора.
2. Выполните команду

nautilus

чтобы открыть файловый браузер с правами администратора.

3. В левой панели, кликните Other Locations (Другие места).
4. В правой панели перейдите в Computer → media → amnesia → TailsData чтобы открыть старый том persistent.
5. В строке заголовка выберите  Menu (Меню) →  New tab (Новая вкладка) чтобы открыть новую вкладку.
6. В левой панели, кликните Other Locations (Другие места).
7. В правой панели, перейдите в Computer → live → persistence → TailsData_unlocked чтобы открыть том нового persistent.
8. Кликните на вкладке TailsData.
9. Чтобы скопировать папку, содержащие данные из постоянного хранилища со старого тома persistent на новый, перетащите эту папки из TailsData во вкладку TailsData_unlocked.
   При копировании папки, выберите опцию Apply this action to all file (Применить это действие ко всем файлам) и кликните Merge (Объединить) для применения ко всем подпапкам. Затем вам может вновь понадобиться выбрать опцию Apply this action to all file (Применить это действие ко всем файлам) и нажать Replace (Заменить) чтобы применить ко всем файлам.
   Не копируйте папку, если вы не знаете для чего она используется.

• Папка apt и файл the live-additional-software.conf соответствуют функции постоянного хранилища Additional Software (Дополнительные программы). Но они требуют прав администратора для импорта и это выходит за пределы данных инструкций. Помните, что данная папка не содержит личных данных.
• Папка bookmarks соответствует функции постоянного хранилища Browser Bookmarks (Закладки браузера).
• Папка cups-configuration соответствует функции постоянного хранилища Printers (Принтеры).
• Папка dotfiles соответствует функции постоянного хранилища Dotfiles (Дотфайлы).
• Папка electrum соответствует функции постоянного хранилища Bitcoin Client (Кошелёк Биткоин).
• Папка gnupg соответствует функции постоянного хранилища GnuPG.
• Папка thunderbird соответствует функции постоянного хранилища Thunderbird.
• Папка nm-connections соответствует функции постоянного хранилища Network Connections (Сетевые подключения).
• Папка openssh-client соответствует функции постоянного хранилища SSH Client (SSH клиент).
• Папка Persistent соответствует функции постоянного хранилища Personal Data (Персональные данные).
• Папка pidgin соответствует функции постоянного хранилища Pidgin.

10. После копирования, закройте файловый браузер.
11. В терминале выполните следующие команды для исправления прав доступа на ваши персональные файлы:

find /live/persistence/TailsData_unlocked/ -uid 1000 -exec chown -R 1000:1000 '{}' \;

---

Проверка файловой системы постоянного хранилища

При редких обстоятельствах вам может потребоваться выполнить проверку файловой системы для исправления дефектного тома persistent.

Разблокировка тома persistent

1. Запустите Tails с отключённым постоянным хранилищем и установите пароль администратора.
2. Выберите Applications (Приложения) → Utilities (Утилиты) → Disks чтобы открыть GNOME Disks.
3. В левой панели кликните на устройство, соответствующее вашей флешке Tails USB.
4. В правой панели кликните на раздел отмеченный как TailsData LUKS.
5. Кликните на кнопку  Unlock (Разблокировка) для разблокировки постоянного хранилища. Введите пароль тома persistent и кликните Unlock (Разблокировать).
6. В диалоговом окне подтверждения, введите ваш пароль администратора и кликните Authenticate.
7. Кликните на раздел TailsData Ext4 который появится под разделом TailsData LUKS.
8. Идентифицируйте имя Устройства вашего тома persistent которое появится под списком томов. Оно должно выглядеть как /dev/mapper/luks-xxxxxxxx. Трижды кликните для выбора и нажмите Ctrl+C для копирования его (имени) в буфер обмена.

Проверка файловой системы используя терминал

1. Выберите Applications (Приложения) → System Tools (Системные инструменты) → Root Terminal и введите ваш пароль администратора для открытия терминала с правами root.
2. В терминале выполните следующую команду, заменив [устройство] на имя устройства, найденное на шаге 8:

fsck -y [устройство]

Чтобы это сделать, вы можете набрать fsck -y и нажать Shift+Ctrl+V для вставки имени из буфера обмена.

3. Если в файловой системе нет ошибок, последняя строка вывода fsck будет начинаться с TailsData: clean.

Если файловая система содержит ошибки, то fsck попытается их автоматически исправить. После того, как он завершит, вы можете попытаться выполнить эту же команду ещё раз, чтобы проверить, все ли ошибки исправлены.

---

Удаление постоянного хранилища

1. Запустите Tails с USB флешки, на которой вы хотите удалить постоянное хранилище.
   Не включайте том persistent в приветственном окне Tails.
2. Выберите Applications (Приложения) → Tails → Delete persistent volume.
3. Кликните Delete (Удалить).

Это может быть полезным для удаления за одно действие всех файлов, сохранённых на томе persistent. Позже вы можете создать новое постоянное хранилище на той же самой USB флешке без необходимости переустановки Tails.

Надёжное удаление постоянного хранилища

Предыдущая техника не препятствует атакующему восстановить файлы в старом хранилище используя техники восстановления данных. Для надёжного удаления раздела persistent, запустите Tails с другой USB флешки или DVD и выполняйте следующие операции на USB флешке с которой вы хотите сделать надёжное удаление:

1. Отформатируйте USB флешку и создайте единый зашифрованный раздел на целом USB диске. Этот шаг удалит и Tails, и том persistent.
2. Безопасно очистите всё доступное дисковое пространство на этом новом зашифрованном разделе.
3. Переустановите Tails на этот USB диск.
4. Запустите Tails с USB флешки и создайте новый том persistent.

Продолжение «Руководство по Tails (часть 3): программы Tails».