如果您注重隐私,并希望您的在线活动…… 尽可能匿名你迟早会遇到 Tails 系统。它并非那种安装到硬盘上就万事大吉的典型发行版,而是一个设计用于从 USB 驱动器启动,并能让你的电脑保持关机前状态的系统。
使用 Tails 系统时,你做的所有事情都在 RAM 中运行,重启后就会消失。 您的文档、历史记录或设置将不留任何痕迹。除非您选择使用其加密持久系统,否则它非常适合私人浏览、审计、轻度渗透测试,或者只是将您的“安全计算机”放在口袋里。
Tails是什么?它与其他发行版有何不同?
尾巴 Tor(全称“The Amnesic Incognito Live System”)是一个基于 Debian Stable 的 GNU/Linux 发行版,其设计理念是将所有流量路由到 Tor 网络,并在运行它的计算机上不留下任何痕迹。它的设计理念非常明确:宁愿牺牲便利性,也不愿牺牲安全性。 匿名性和隐私.
与标准发行版不同,Tails 的设计目标是作为……运行。 现场DVD或现场USB这意味着它会加载到内存中,不使用计算机的硬盘驱动器或交换分区,并且在关闭时会擦除会话期间所做的一切,除非您特意使用加密的持久空间。
另一个关键点是所有网络连接都强制通过 Tor;如果需要,您可以查看具体方法。 安装 Tor 浏览器并开始浏览任何试图通过其他任何方式访问互联网的行为, Tails 默认会阻止它。这样,如果应用程序尝试在 Tor 之外进行连接,就不会发生 IP 或元数据泄露,除非您明确禁用该保护。
此外,Tails 还自带一套面向特定用途的工具。 安全性、匿名性和密码学磁盘和 USB 加密、加密电子邮件、安全即时通讯、安全文件销毁,以及带有专注于保护您身份的插件的强化浏览器。
一个重要的细节是,Tails 是为架构设计的。 x86 和 x64 (适用于常见的英特尔/AMD处理器)。它不适用于PowerPC或ARM架构,所以不要指望能直接在树莓派之类的设备上使用相同的镜像。
使用 Tails 作为匿名系统的主要优势
Tails的主要吸引力在于…… 所有网络活动都通过 Tor 进行传输。这样可以隐藏您的真实 IP 地址,使其对您访问的服务不可见,并且您的计算机与 Tor 节点网络之间的流量也会被加密。如此一来,任何从您的本地网络或 ISP 拦截您连接的人都只能看到加密后的数据,而看不到您会话的内容。
任何不通过 Tor 的连接都是 自动锁定此内部防火墙可防止配置错误的程序、浏览器故障或第三方应用程序在您不知情的情况下绕过 Tor,从而大大降低身份泄露的可能性。
整个系统通过 Live 介质(DVD/USB)运行。 计算机的内存Tails 不会写入硬盘或交换空间,因此当您关闭系统时,内存将被擦除,您的浏览器历史记录、消息会话、临时设置以及任何您尚未保存到额外加密空间的文件也将随之消失。
默认情况下,您从 USB 或 DVD 启动 Tails 系统。 它缺乏持久性这意味着,除非您使用配置正确的持久卷,否则您安装的任何软件包、保存在主文件夹中的任何文档或调整的任何设置都将在系统关闭时丢失。如果您注重便利性,这会很不方便,但对于不留痕迹来说却是完美的解决方案。
该版本默认配备了旨在保护您信息的实用程序: LUKS 对U盘或外置硬盘进行加密 的OpenPGP 对于电子邮件和文件, OTR 为了加密聊天记录,可以使用 Nautilus Wipe 等工具。 安全销毁文件以及 HTTPS Everywhere 扩展程序,可在浏览时最大限度地提高加密效率。
因为它通过 USB 驱动器运行,所以你实际上可以 把你的工作环境装进口袋您只需将U盘插入任何兼容的电脑,从U盘启动,即可始终使用相同的安全系统。即使U盘丢失,只要加密正确,没有正确的密码,任何人都无法读取其中的内容。
安装 Tails 之前的最低要求
在准备匿名U盘之前,建议检查您的计算机是否满足某些要求。 最低条件Tails 可以在低配置机器上运行,但如果资源不足,体验可能会非常缓慢甚至完全不稳定。
建议至少要有 1 GB RAM内存如果配置较低,系统可以启动,但运行速度可能会非常慢,尤其是在打开多个浏览器标签页或使用办公套件或图像编辑器等大型工具时。
至于处理器方面,Tails 的设计目标是 x86 和 x64 架构任何配置相对现代的台式机或笔记本电脑都应属于此类。PowerPC 和 ARM 处理器(常见于某些老式服务器、许多移动设备或低功耗主板)则不在此列。
计算机的BIOS或UEFI必须允许 从USB启动几乎所有现代电脑都支持从 USB 启动,但老款电脑可能需要使用 DVD 光盘而不是 USB 驱动器。如果您的固件没有提供从 USB 启动的选项,请检查更新或寻找使用光盘的方法。
最后,你需要一个至少 300 毫升的 U 盘。 2 GB容量 复制 Tails 镜像并运行它。实际上,如今最好使用 8 GB 或更多的空间,尤其是在计划创建持久卷来存储加密文档和配置的情况下。
下载并验证 Tails ISO 镜像
设置匿名U盘的第一步是: 下载官方 Tails ISO 文件 从他们的网站下载页面,您可以选择多种下载方式:直接下载、使用BT客户端等等。许多人选择BT下载,因为在网络连接速度较慢的情况下,BT下载往往更稳定。
下载完成后,您通常会拥有 尾巴 ISO 图像 在某些情况下,还会有一个扩展名为 .key 或类似名称的附加文件,用于加密验证。该 ISO 文件大约 900 MB,不算太大,但也不算小。
ISO认证并非强制性要求,但如果您重视安全,强烈建议您进行认证。目标是 请确保没有人修改过该文件。 它也不会在 Tails 服务器和您的计算机之间植入恶意代码。此步骤用于验证下载文件附带的数字签名。
您可以从 Tails 网站的验证部分下载 Tails签名密钥将其保存到您的个人文件夹(例如,您的 /home 目录)后,您需要在当前系统上打开终端并 导入该密钥 使用 gpg 命令,例如:
cat tails-signing.key | gpg –keyid-format long –import
接下来,使用 gpg 和与 ISO 关联的签名文件启动映像验证,命令如下: gpg –keyid-format long –verify file.iso.pgp file.iso您需要根据下载的 Tails 版本调整实际文件名。
如果一切顺利,gpg 将显示一条消息。 Tails密钥的正确签名它很可能还会警告密钥未经可信机构认证;这是正常现象,它只是提醒您该密钥尚未在其自身的可信网络上进行验证。对我们而言,重要的是签名匹配且 ISO 标准未被篡改。
从另一个 Linux 系统创建第一个 Tails USB 驱动器
ISO认证完成后,就可以开始…… 准备一个可启动的 USB虽然有一些通用的图形化工具,例如 Unetbootin,但它们经常会导致 Tails 系统出现问题:内核检测错误、功能被禁用、持久性问题等等。最可靠的方法是遵循项目本身推荐的方法。
首先,请确保已安装该软件包。 SYSLINUX 在您当前的发行版上。在基于 Debian 或 Ubuntu 的系统上,您可以使用以下命令: sudo apt-get install syslinux很多发行版都预装了该软件,但还是值得检查一下。
现在你需要两个U盘。第一个U盘将用于生成一个 初始 Live USB 第一个将来自 Tails 系统,第二个将是功能齐全的终极 USB,如果您需要,还可以进行加密持久化存储。
将其中一个U盘连接到电脑,然后打开终端,看看Linux是如何检测到它的。命令如下: df -h 或者像 lsblk 这样的工具会显示设备列表。你会看到类似这样的信息。 / 开发 / sdf1 这与您的 USB 驱动器相对应,大小大约等于其容量(例如,1.9G)。
重要的是记住设备名称 不包含分区号也就是说,应该是 /dev/sdf 而不是 /dev/sdf1。任何错误都可能导致覆盖你的主硬盘,所以你应该非常小心,仔细检查硬盘大小和挂载点。
识别到设备后,使用 isohybrid 准备 ISO 文件,然后使用类似于以下的命令将其直接写入 USB 驱动器:
isohybrid '/home/user/tails-x.xx.iso' –entry 4 –type 0x1c
sudo cat '/home/user/tails-x.xx.iso' > /dev/sdf && sync
显然,您需要根据实际情况调整路径和文件名,并且应该将 /dev/sdf 替换为您的 USB 驱动器实际对应的设备名称。 同步 它负责清除写入缓存,以确保数据已完全写入U盘。
几分钟后,过程结束,你就得到了你的第一个。 可启动 Tails USB从这里您可以重新启动计算机,将 BIOS 或 UEFI 配置为从该 USB 驱动器启动,并首次加载 Tails。
首次配置 BIOS/UEFI 并启动 Tails 系统
U盘创建完成后,接下来需要告诉电脑: 从 USB 驱动器启动 而不是从硬盘驱动器进行操作。要做到这一点,您需要在开机后立即进入计算机的 BIOS 或 UEFI 界面(通常是按 F2、Delete、F12、Esc 等键,具体取决于制造商)。
在固件设置菜单中,转到以下部分: 启动或启动过程 并调整启动顺序,使U盘优先于内置硬盘启动。有些电脑还设有启动菜单,可通过特定按键选择当前会话的启动设备。
保存更改后,连接 Tails USB 驱动器并重新启动。如果一切正常,您首先会看到 Tails 启动菜单,其中通常会有一个名为“Tails”的主条目。 尾巴 可用键盘方向键选择,按 Enter 键确认。
加载片刻后,Tails 欢迎界面将会出现。从那里你可以选择 系统语言此外,还可以选择键盘布局和其他一些额外选项,例如某些网络设置,不过通常的启动方式是选择语言并按下开始按钮。
系统启动完成后,您将进入…… Tails的桌子它采用经典的基于 GNOME 的环境。从那时起,您的所有操作都将在系统的匿名和安全策略下执行。
将 Tails 系统克隆到第二个 USB 驱动器,即可使用所有功能。
Tails 首次启动时完全可用,但如果您使用直接转储方法创建它,则可能会出现一些问题。 高级功能可能无法完全使用。特别是那些与持久性和 Tails 自身安装程序相关的问题。
确保U盘功能完备的推荐方法是使用您自己的U盘。 Tails 安装程序 要将当前会话克隆到第二个 USB 驱动器,请在桌面上连接第二个 USB 驱动器,该驱动器将用作最终目标位置。
在应用程序菜单中,转到 应用程序 / Tails / Tails 安装程序将打开一个图形向导,该向导将检测您运行 Tails 的介质,并为您提供几个选项,包括将您正在运行的系统克隆到另一个 USB 驱动器。
选择选项 克隆当前的 Tails 在目标设备栏中,仔细选择您刚刚插入的U盘(注意其容量大小,以免出错)。点击安装后,程序会警告您目标U盘中的所有内容将被擦除。
确认操作并等待复制过程完成。根据 USB 速度和端口(2.0 或 3.0)的不同,这可能需要几分钟到更长时间。完成后,您将获得一个包含以下内容的全新 U 盘: 已安装完整版 Tails可在任何兼容的计算机上启动。
从那时起,你就不需要之前用作基础的第一个U盘了。你可以把它用于其他用途,因为第二个U盘就完全属于你了。 Tails 的主要媒介并提供对更新、持久卷创建和所有官方功能的充分支持。
在 Tails 中创建加密持久卷
默认情况下,每次关闭 Tails 系统时,所有配置、已安装的软件包和已保存的文件都会从系统中删除。这非常适合做到不留痕迹,但在日常使用中,每次都要重新设置可能会有点令人沮丧。 始终重复相同的设置 或者在会话之间丢失文档。
为了平衡安全性和舒适性,Tails 允许您创建 加密持久卷 加密区域位于U盘内部。该加密区域将用于存储您希望在重启后保留的数据:个人文档、GPG密钥、网络设置、浏览器书签、下载的软件包等。
Tails 从最后一个 USB 驱动器启动后,进入菜单。 应用程序 / Tails / 配置持久卷系统将分析U盘上的可用空间,并显示可用于创建卷的GB数。默认情况下,系统建议使用系统未占用的所有可用空间。
创建此卷时,Tails 会要求您输入一个 强加密密码该密码是未来启动时解锁持久存储区域的关键。如果您丢失了密码,将无法访问数据,这有利于您的安全,但如果您忘记了密码,后果将不堪设想,因此请选择一个既复杂又容易记住的密码。
片刻之后,音量将会生成,并会出现一个向导供您选择。 您希望保存的数据类型 在加密区域中。默认情况下并非所有内容都会持久保存;您可以决定哪些内容会被保留,哪些内容会在每次启动时被删除。
您可以激活的类别包括:
- 个人资料允许您在持久卷中存储个人文件、工作文档、照片和文件夹。
- GnuPG的:保存您创建或导入的 OpenPGP 密钥,以便您始终可以使用它们而无需重新创建它们。
- SSH客户端:保存 SSH 密钥、已知主机和配置文件,以实现安全的远程连接。
- 洋泾浜:使消息客户端的帐户、OTR 加密密钥和聊天记录持久化。
- Claws Mail:维护存储在电子邮件客户端中的电子邮件设置和消息。
- 小矮人钥匙扣:将钥匙环的内容(例如 WiFi 密码和其他凭据)存储在持久卷中。
- 网络连接:保存接入点的连接配置文件(例如 WLAN_xx),这样就不需要每次都重新配置。
- APT软件包:保留使用 apt-get 或 Synaptic 下载的软件包,加快未来的重新安装速度,因为它们不必再从 Internet 下载。
- APT列表使通过 apt-get update 获取的存储库和软件包列表持久化。
- 浏览器书签:保存您的浏览器书签(例如,指向隐藏的 .onion 网站或您经常使用的页面的链接)。
- 点文件允许将位于特定路径中的某些配置文件反映到您的主文件夹中。
- 自定义目录:可以选择任何文件夹,将其内容存储在持久卷上。
选择所需选项并点击保存后,Tails 会询问您…… 你重新启动系统 要使更改生效,您需要等到从该 USB 驱动器启动后才能生效。届时,系统会询问您是否要启用持久化功能并输入卷密码。
也可以选择将卷挂载到 只读模式 如果您想随时查阅数据,而又不想冒着数据被篡改或留下任何额外痕迹的风险。
Tails 中包含的用于隐私和日常使用的软件
尽管 Tails 侧重于匿名性,但它仍然是一个相对完整的系统。 日常任务它并非设计为通用发行版,但它确实附带了一套不错的应用程序,用于浏览、处理文档、编辑多媒体和管理加密。
在网络和通信部分,Tails 包含了它自己的 门 及其特定配置,包括用于连接 WiFi 或有线网络的 GNOME 网络管理器、强化浏览器(源自 Firefox,历史上曾用名 Iceweasel)和即时通讯客户端。 洋泾浜 邮件客户端支持OTR聊天加密,并可与OTR配合使用。 Claws Mail例如 Liferea 这样的订阅源阅读器、Gobby 这样的协作工具以及无线审计实用程序等。 Aircrack它还可以集成 I2P,用于构建其他匿名网络。
在办公和多媒体部分,您会找到 OpenOffice的 或者 LibreOffice(取决于版本),以及图形编辑器,例如 花边 以及 Inkscape、Scribus 排版、Audacity 音频编辑、Pitivi 视频编辑、Simple Scan 和 Sane 等扫描工具、Brasero 光盘刻录和 Sound Juicer 音频提取等软件。
最强大的方块是来自 密码学与隐私Tails 集成了 LUKS 和 Palimpsest 等图形工具来管理加密磁盘,GnuPG 用于电子邮件和文件加密,KeepassX 等密码管理器,PWGen 等安全密钥生成实用程序,Shamir's Secret Sharing 等安全秘密共享机制,Florence 虚拟键盘用于避免硬件键盘记录器,MAT 用于清理文档元数据,以及尽可能强制使用 HTTPS 的浏览器插件。
该系统还包括一些特定的实用程序,用于 不可挽回地删除文件 并清理可用空间。这些工具会以极难恢复的方式覆盖数据,这符合 Tails 的“失忆”理念。
使用 Tails 时需要考虑的局限性和风险
然而,塔尔斯虽然强大,但他毕竟不是魔法棒。我们需要明确一点: 它解决了哪些问题,又没有解决哪些问题?那么还有哪些风险呢?特别是如果用户放松警惕或者随意安装的话?
首先:虽然所有流量都通过 Tor,但来自 Tor 的出站部分 Tor出口节点到Web服务器 并非总是加密的。如果网站没有正确使用 HTTPS,中间人就可以捕获流量,查看你的操作,甚至篡改流量。如果服务本身没有加密,Tor 也不会自动加密最后一段流量。
您的互联网服务提供商和本地网络管理员可以 请确保您正在使用 Tor。虽然他们无法轻易识别你访问的具体网站。Tor 网络的设计目的并非隐藏 Tor 本身的使用,而是隐藏通过该网络的流量的具体来源和目的地。
网站可以检查某个 IP 地址是否属于某个用户。 Tor出口节点 使用公共列表。这意味着某些页面在检测到您通过 Tor 访问时,可能会阻止访问或采取额外的安全措施(例如,更严格的验证码、访问限制等)。
你也无法免受此类攻击。 中间人恶意出口节点可能会试图监视或篡改 Tor 与 Web 服务器之间的未加密流量。或者,如果您没有及时更新浏览器或插件,沿途的攻击者可能会利用其中的漏洞。
另一个关键点是,Tails 不会自动加密您的文档或电子邮件。该系统为您提供…… 加密工具但正确使用加密技术取决于您:配置 PGP、使用 LUKS 加密卷、保护您的密码等等。如果您将明文存储在持久化存储中,并且丢失了密码或密码被他人获取,那么加密就基本失去了作用。
如果你想在会话期间更改身份,最安全的做法是 关闭 Tails 并重新启动Tor 相关工具中的“新身份”等功能存在局限性:它们会更改新连接的节点路由,但除非完全重启环境,否则它们不一定会清除浏览器中的所有 cookie、会话和累积数据。
坚持固然有用,但也可能带来麻烦。如果有人拿到你的U盘,并且设法破解或猜到密码,他们就能获得访问权限…… 存储在加密卷上的文件此外,你保存的东西越多,积累的信息越多,如果这个U盘落入坏人手中,造成的影响就越大。
在 Tails 系统中安装额外的软件包可能会损害您的系统。 匿名保证该发行版经过精心调校,旨在最大程度地减少漏洞,因此添加未经测试的软件或以不透明方式通信的软件可能会造成意想不到的安全隐患。理想情况下,您应该只安装最基本的软件,并且始终了解您添加的是什么。
最后,Tails也在不断发展。更新会修复漏洞。 安全漏洞和弱点因此,保持系统更新至关重要。过时的 Tails 系统可能容易受到已知漏洞的攻击,攻击者只要有足够的耐心就能利用这些漏洞。
最终,Tails 是隐私策略中非常可靠的一部分,但是 安全很大程度上取决于用户。:他们的习惯,他们如何管理密码,他们在网络上共享什么,以及他们如何配置系统提供给他们的工具。
综上所述,Tails 对于任何需要……的人来说都是一个非常强大的选择。 孤立的工作环境便携且注重匿名性:从只想更安心地浏览网页的用户,到需要具有记忆清除功能的操作系统来执行敏感任务而不在工作电脑上留下痕迹的高级用户,都能找到合适的解决方案。
