W jaki sposób skonfigurować ulotne sesje w systemie?

[virginia123]

Cześć,

piszę to w dziale ostatnia deska ratunku, ponieważ nie dotyczy ono konkretnie Ubuntu (chociaż może dałoby się coś takiego na Ubuntu skonfigurować?).

Chciałam Was zapytać jaką dystrybucję Linuksa (zorientowaną na prywatność i bezpieczeństwo) możecie polecić, aby była najbardziej zbliżona do moich oczekiwań. Trochę przeczytałam na temat różnych dystrybucji i wypróbowałam niektóre, ale nie udało mi się znaleźć dokładnie takiej.

Potrzebuję systemu, który będzie się dało zainstalować na dysku na zaszyfrowanej partycji i który umożliwi korzystanie z dwóch kont, z braku lepszych określej nazwijmy je trwałym (normalne konto) i ulotnym (zawartość znika po wylogowaniu się).

Dla takiego ulotnego mogę używać np. Tails (który jest bardzo dobry, ale nie wspiera OpenVPN, co jest moim kolejnym wymaganiem). Byłoby to zbyt niewygodne, aby ciągle restartować główny system operacyjny (zainstalowany na dysku twardym) i restartować z pendrive za każdym razem, gdy potrzebowałabym ulotnej sesji.

Dużo lepiej by było, gdyby dało się uruchomić komputer z Linuksem zainstalowanym na dysku, a następnie zalogować się do trwałego konta (zwykłego) lub ulotnego, które spełniałoby kilka założeń:

1. wsparcie dla OpenVPN (+ konfiguracja dla uniknięcia DNS leaks i tzw. kill switch, to sobie mogę sama skonfigurować)
2. nie zapisuje niczego na dysku (lub bezpiecznie czyści crypto swap na końcu sesji), tzn. żadne logi, zrzuty błędów
3. wspiera instalację oprogramowania na ulotnej sesji (do pamięci RAM albo do crypto swapa). (Najlepiej by było, gdyby dało się prekonfigurować taki zestaw oprogramowania przed włączeniem ulotnej sesji, aby nie było konieczności reinstalacji programów za każdym razem, gdy wchodzę do ulotnej sesji. W takiej sytuacji mogłabym również prekonfigurować kill switcha w firewallu i inne funkcjonalności).

Czy jest jakaś dystrybucja, którą moglibyście polecić?

Dzięki!

[infort]

Troszeczkę mylisz pojęcia, możesz użyć dowolnej dystrybucji. W przypadku szyfrowania całego dysku nie ma sensu blokady zapisu danych na dysku lub czyszczenie swapa, bo całość jest szyfrowana i nikt się do danych nie dobierze po wyłączeniu komputera (oczywiście to teoria bo w praktyce najsłabszym elementem jest człowiek).

Zasadniczo jest poważna sprzeczność między wygodnym użytkowaniem systemu a jego pełnym zabezpieczeniem. Nie da się mieć wszystkiego. W mojej opinii rozwiązaniem Twoich problemów jest wirtualizacja. Główny system szyfrujesz LUKSem i stawiasz na nim potrzebną ilość maszyn wirtualnych do konkretnych zadań. A na nich potrzebne oprogramowanie. Co więcej, istnieją szybkie metody przywrócenia maszyny wirtualnej do stanu podstawowego, jaki sobie skonfigurujemy (snapshoty).
Kluczowe znaczenie ma separacja poszczególnych połączeń internetowych i nie korzystanie z pamięci podręcznej przeglądarek, ciasteczek i tym podobnych. Większość wycieków tożsamości w internecie bierze się właśnie z niedostatecznego izolowania procesów. Pomijam oczywiście szkolne błędy ludzkie, jak logowanie się w tej samej sesji na konta jawne i anonimowe. Dlatego jedna maszyna wirtualna wyłącznie do sesji anonimowych i po każdym krytycznym z punktu bezpieczeństwa działaniu przywrócenie stanu pierwotnego maszyny.

Klienta OpenVPN da się ustawić w Tails jak zresztą w każdym linuksie. Tyle, że mieszanka Tor + OpenVPN w praktyce się nie ma większego sensu. Jedyne, co przychodzi mi do głowy to próba ukrycia faktu korzystania z Tora przy podejrzeniu, że jesteśmy już inwigilowani. I to jako bezpośredni cel. Ale nie istnieją całkowicie anonimowe serwery VPN. W przypadku, gdy boimy się, że sam fakt korzystania z Tora sprowadzi na nas kłopoty, czyli zadarliśmy ze służbami specjalnymi, możemy być pewni, że wyśledzenie właściciela serwera po przepływach pieniężnych nie będzie problemem. Nawet płacąc bitcoinami czy paysafecard (kupioną za gotówkę!) możemy gdzieś popełnić przy rejestracji błąd, coś gdzieś wycieknie, ktoś coś skojarzy lub zarejestruje...

Odpowiedz sobie na proste w sumie pytanie. Na ile to, do czego potrzebujesz aż tak bezpiecznego systemu jest a) legalne b) usprawiedliwione wyższą koniecznością. Nie warto wytaczać armaty na wróbla. Całkowicie anonimowe mogą być tylko jednorazowe akcje. Im dłużej się zajmujesz czymś, tym większa szansa że popełnisz fatalny błąd. Stąd moja rada odnośnie wirtualizacji i snapshotów, nie są lekiem na błędy ale poważnie ograniczają możliwość ich popełnienia.