Gemak versus veiligheid
Security-distributie Tails uitbreiden en aanpassen
Bij de Linux-distributie Tails kun je maar heel weinig aan je eigen wensen en behoeften aanpassen. Maar als je weet wat je doet, kun je het systeem toch een beetje naar je hand zetten.
Tails is een Linux-distributie speciaal voor mensen die veel belang hechten aan privacy en anonimiteit. Je kunt hem starten vanaf een usb-stick (zie het kader op de volgende pagina rechtsonder). Standaard is Tails net zo statisch als een live-systeem dat je vanaf dvd opstart. Je kunt er wel wat aan instellen en zelfs pakketten installeren, maar na een reboot is alles weer weg. Die vergeetachtigheid is bewust ingebouwd. Het gaat de ontwikkelaars er vooral om dat gebruikers als het even kan geen sporen achterlaten die tegen ze gebruikt kunnen worden. Tails is dan ook een afkorting voor The Amnesic Incognito Live System. Het centrale gebruikersaccount van Tails heet niet voor niets 'amnesia'.
Bovendien willen de ontwikkelaars in ieder geval vermijden dat een gepersonaliseerd systeem opvalt in de massa aan Tailsgebruikers en daardoor te volgen is. Daar staat alleen tegenover dat Tails-gebruikers toch ook wel wat comfort willen. Je wilt bijvoorbeeld een belangrijke website als bookmark opslaan en niet elke keer opnieuw je wifiwachtwoord intypen. Daarom hebben de ontwikkelaars wat ruimte gereserveerd voor persistente opslag en dat beveiligd met een wachtwoord. Daar kun je bepaalde veranderingen bewaren die dan na een reboot automatisch teruggezet kunnen worden.
Tails aanpassen
Je hoeft alleen maar eenmalig in het Tailsmenu 'Configure persistent volume' te kiezen, twee keer een zo goed mogelijk wachtwoord in te typen en op 'Create' te klikken. Dan maakt Tails op het vrije geheugen van
de usb-stick een versleutelde partitie aan. Alleen met het wachtwoord kun je bij de inhoud daarvan. Je hebt daar niet per se een Tails-systeem voor nodig. Ieder Linuxsysteem dat overweg kan met LUKS-versleutelde partities – bijvoorbeeld met de Gnome Disk Utility – kan het persistente volume mounten.
Daarmee krijg je persoonlijke opslagruimte tot je beschikking in de map ~/ Persistent/. Daar kun je dan bijvoorbeeld documenten veilig opslaan. Je kunt met een eigen menu ook instellen dat Tails daar onder andere browser-bookmarks, SSH- en GPG-sleutels en de netwerkinstellingen bewaart.
Maar zoiets triviaals als de systeemtaal of de desktopachtergrond of zelfs pictogrammen permanent instellen is niet mogelijk. Dat is soms wel irritant. Zolang je Engels als taal wilt en een toetsenbord met een Amerikaanse indeling gebruikt valt het nog mee, dat is namelijk het standaard uitgangspunt. Anders moet je telkens bij het opstarten de uitgebreide configuratiemogelijkheden selecteren.
Buiten de opties om
Dat wil nog niet zeggen dat het allemaal niet te doen is. Om die instellingen – die deels niet gedocumenteerd zijn – aan te passen, moet je echter wat dieper in het systeem duiken. De persistente opslagruimte staat in de map /live/persistence/TailsData_unlocked. Daar mount het systeem de ontsleutelde partitie. De volgende relatieve padnamen gebruiken die map dan ook als uitgangspunt. Wat het systeem onthoudt, wordt bepaald door het daar opgeslagen bestand persistence.conf. Daar zorgen items als
/home/amnesia/.gnupg source=gnupg
ervoor dat GunPG-sleutels behouden blijven. Op de achtergrond mount daar namelijk de persistente map gnupg/ met de parameter bind naar ~/.gnupg. Tails is gebaseerd op Debian. Dat betekent dat je software uit het Debian-universum relatief makkelijk kunt installeren. Hou er wel rekening mee dat je in tegenstelling tot bij de meeste desktopsystemen de 32-bit i386-pakketten nodig hebt. Met de persistentie-optie 'APT Lists' worden de lijsten met beschikbare Debian-pakketten opgeslagen. Met 'APT Packages' kun je ervoor zorgen dat Tails alle binnengehaalde Debian-pakketten in de map apt/cache/ opslaat. Met
sudo apt-get install emacs
komen daar naast het centrale Emacs-pakket ook de Debian-pakketten te staan die nodig zijn als afhankelijkheden.
Daarmee worden ze echter nog niet iedere keer automatisch geïnstalleerd. Om dat voor elkaar te krijgen, moet je met rootrechten in het al bestaande bestand liveadditional-software.conf de pakketnaam emacs toevoegen. Als Tails-gebruiker krijg je alleen rootrechten als je bij het opstarten bij 'More options' op Yes klikt en dan een tijdelijk wachtwoord voor de sessie opgeeft. Daarna kun je met bijvoorbeeld sudo /bin/bash een rootshell starten.
Voeg aan persistence.conf de regel
/home/amnesia/.emacs.d source=emacs.d
toe om de instellingen van Emacs te behouden.
Tails is daarbij intelligent genoeg om de extra pakketten na het opbouwen van een netwerkverbinding weer bij te werken. Maar pas op: bij programma's met netwerkfuncties bestaat het gevaar dat ze outof-the-box niet met de speciaal beveiligde Tor-georiënteerde netwerkset-up werken.
Voor diepgaandere veranderingen kun je het beste een autostart-hook maken: een shellscript dat na het aanmelden bij het systeem uitgevoerd wordt en dan een paar wijzigingen doorvoert. Daarvoor moet je eerst de optie 'Dotfiles' activeren.
Dat zorgt ervoor dat Tails aan de persistentie-instellingen het volgende toevoegt:
/home/amnesia source=dotfiles,link
In het vervolg maakt Tails bij iedere start symbolische links in de home-map van de gebruiker aan voor de in dotfiles/ gevonden bestanden en mappen. Je moet die bestanden in dotfiles/ wel eerst zelf aanmaken om ervoor te zorgen dat Tails de ingevoerde instellingen ook meekrijgt.
Voor een autostart-functie maak je eerst – ditmaal als de gewone gebruiker amnesia – de volgende map aan:
mkdir -p dotfiles/.config/autostart
Alle .desktop-bestanden in die map worden na het starten van de desktop uitgevoerd. Met een editor naar keuze maak je in die map een bestand aan met de naam autostart.desktop en de volgende inhoud:
[Desktop Entry]
Type=Application Exec=/home/amnesia/Persistent/—
autostart.sh Hidden=false X-GNOME-Autostart-enabled=true Name=StartUp script
Dan hoef je alleen nog het shellscript ~/ Persistent/autostart.sh met de gewenste commando's te maken. Daarin kun je dan bijvoorbeeld met
gsettings set
or g. gnome. desktop. background picture-uri 'file:///usr/share/—
images/desktop-base/joy.xml'
een desktopachtergrond instellen en met
ln -s ~/Persistent ~/Desktop/Persistent
een shortcut aanmaken. In principe kun je ook met
gsettings set
org.gnome.desktop.input-sources sources "[('xkb', 'fr'),('xkb', 'us')]" een Franse toetsenbordindeling activeren, maar in de praktijk blijkt dat Tails tijdens het uitvoeren van de scripts zelf aan die instellingen rommelt en er daardoor een race-condition ontstaat: wie het laatst komt, heeft gewonnen. Om dat te vermijden hebben we – quick and dirty – een kunstmatige vertraging van tien seconden ingebouwd.
Een eenvoudig autostart-script voor het aanpassen van verschillende systeeminstellingen staat bij de link onderaan deze pagina. Daarmee wordt bijvoorbeeld de sneltoets Super+T ingesteld voor het starten van een terminal. Het script heeft ook een wachtloop die regelmatig test of de Tor-service al compleet geïnitialiseerd is en er netwerkactiviteiten kunnen worden gestart.
Oppassen
Een waarschuwing tot slot: met de hier beschreven middelen kun je Tails verregaand aan je eigen wensen aanpassen, maar dergelijke aanpassingen kunnen ook nadelig zijn voor de veiligheid en de anonimiteit – en dat vaak zonder dat je je daar bewust van bent. Als je er bijvoorbeeld voor zorgt dat de browser zijn instellingen onthoudt, zet je de deur open voor diverse fingerprinting-technieken. Als je het browservenster standaard een ongebruikelijk formaat geeft van bijvoorbeeld 1131 bij 779, dan kun je in de toekomst alleen al daaraan worden herkend op internet.
Je moet bij iedere afzonderlijke instelling dus goed overwegen of ze het eigenlijke doelscenario kunnen schaden. In geval van twijfel moet je dan toch echt voor de veiligheid kiezen en niet voor het comfort. Denk vooral niet dat je met Tails een superveilig en desondanks eenvoudig en comfortabel systeem kunt samenstellen. De nood moet wel heel hoog zijn om Tails regelmatig te gaan gebruiken. (nkr)
www.ct.nl/softlink/1703139