(Foto: Computerworld)

Boot supersikkert i Linux fra en usb-nøgle

Man kan trygt boote via offentlige net med en bærbar, krypteret Linux-distribution.

30. november 2011 kl. 13.03

Af Redaktionen, Alt om Data

Denne artikel er oprindeligt bragt på Alt om Data. Computerworld overtog i november 2022 Alt om Data. Du kan læse mere om overtagelsen her.

Det er en god ide at sikre sine data, når man er på farten, også selvom man ikke er hemmelig agent. Mange mennesker, der rejser rundt på kloden uden andet end en rygsæk, har brug for adgang til computere og internettet for at få kontakt med venner og slægtninge.

Offentlige net er næsten altid sårbare over for indtrængen. Det kan skyldes, at den trådløse forbindelse ikke er krypteret, eller at selve netværket går via en lokal proxy. Hvis folk ønsker det, kan de se dine ukrypterede data gå gennem Wireshark eller nemt overvåge de websites, du besøger. Derfor bør man ikke se det som et tegn på paranoia, at man tager så mange forholdsregler som muligt.

En af de bedste måder at beskytte sig på er at tage en sikker Linux-distribution med på rejsen. Der findes adskillige Linux-distributioner, som kan køre fra en usb-nøgle, og som bruger sikker netsoftware og krypterer dine personlige data.

Det løser to problemer. For det første kan din nettrafik gøres anonym med tjenester som Tor, for det andet bliver personlige filer og filer, der er oprettet som en internetcache, gemt på din egen enhed, og man kan kun få adgang til dem med et kodeord.

Det betyder, at selv når du bruger et usikkert net, har du gjort, hvad du kan, for at beskytte dine data. De sites, du besøger, bliver sløret, og så længe du bruger https, forbliver de data, der bliver overført mellem din mas-kine og serveren, sikre. Det er ideelt på internetcafeer, og når man skal låne en andens maskine for at tjekke e-mail. Det kræver blot en usb-nøgle og 30 minutters forberedelse, før man tager af sted.

1. Hent distributionen

Den distribution, vi har sat os for at installere, hedder Privatix. Den har måske ikke verdens bedste navn, men det er en meget sikker distribution, der bygger på den nyeste udgave af Debian. Den er også en glimrende desktopdistribution, og den er en ideel rejsekammerat.

Den bliver installeret i to trin: Det første laver en bootbar disk, det andet opretter usb-boot-enheden. Det skyldes, at man skal køre installationsproceduren fra cd’en for at generere en krypteret hjemmepartition på usb-nøglen. Og den live-cd, installationen bliver kørt fra, er standardinstallationsmediet for den
distribution.

Det første skridt består i at hente et eksemplar af iso’en fra www.mandalka.
name/privatix/index.html.en. Der findes engelske og tyske versioner af distributionen, og der er også en Gnome-baseret og en 200MB mindre iso, der bliver leveret af XFCE. Vi satsede på standard-Gnome-udgaven.

Du skal bruge et diskbrænderværktøj som K3b til at skrive iso’en til en tom eller rewritable cd. Man kan brænde en iso fra K3b-applikationen ved at vælge ’Tools | Burn image’ fra hovedmenuen.

2. Opret usb-nøglen

Når cd’en er oprettet, skal du boote din maskine med disken i et andet drev. Du kan få behov for at bruge din bios’ bootmenu til at ændre enhedernes prioritering, men mange systemer kan boote fra optiske medier, hvis de finder en passende disk. Vælg ’Live’ fra bootmenuen, medmindre du har et hardwareproblem (’Failsafe’ virker for eksempel bedst med gamle grafikkort).

Lad dig ikke skræmme af den rå tekst, der går over skærmen, mens systemet booter. Sådan er Debian blot. Efter få minutter bør du kunne se den udpræget gammeldags Gnome 2.x-desktop plus et installationsikon et sted til venstre på skærmen.

Før du klikker her, skal du indsætte din usb-nøgle. Når du kører installationsproceduren, bliver du først spurgt om, hvilken usb-enhed distributionen skal installeres på. Du skal vælge den usb-nøgle, du lige har indsat, og acceptere en advarsel om, at alle data på den disk bliver slettet.

Så bliver du bedt om at skrive superbruger- og administratorkodeord. Det betyder, at du kan indføre ændringer i systemet efter installationen. Vi anbefaler, at du gør dem ens for at undgå forvirring.

Efter at have skrevet kodeordet har du mulighed for sikkert at slette din usb-nøgle. Der bliver skrevet vilkårlige data over usb-nøglens indhold, hvilket gør det meget sværere for en tredjepart at gendanne dine gamle data. Det tager nogen tid at slette dataene, men det er umagen værd, hvis du har brugt enheden til at gemme følsomme data.

Derefter bliver Privatix installeret på din usb-enhed, og fordi dataene bliver skrevet til et nyligt krypteret drev, tager det længere tid end en standardinstallation af en distribution. På vores Core 2 Duo 2,3GHz-maskine tog det omkring 50 minutter, før vi blev præsenteret for meddelelsen ’Installation done’.

Boot din usb-nøgle

Når skriveprocessen er begyndt, er tiden nu inde til at teste din distribution. Din pc skal kunne boote fra en usb-enhed, og du skal enten vælge den fra din bios’ boot-menu eller flytte usb-enheder op på prioriteringslisten i bios. Du skal gøre det samme, hver gang du vil boote din distribution, men langt hovedparten af moderne maskiner kan boote fra usb som standard, hvis der bliver fundet en kompatibel enhed, og det burde derfor ikke være noget problem.

Hvis enheden bliver rigtigt genkendt, ser du den normale ’Linux Grub’-menu, og du bør lade den blive ved standardindstillingen. Få øjeblikke senere ser du meddelelsen ’Unlocking the disk’ og en anmodning om at skrive et kodeord. Skriv blot det kodeord, du brugte til installationen.

Nu bør du se en meddelelse om, at filsystemet er blevet korrekt afkrypteret. Et øjeblik senere ser du næsten den samme desktop, som du får med en live-cd.

Forhåbentlig er dit trådløse netkort blevet genkendt af Debian-installationen, og du kan få forbindelse til ethvert lokalt access-point ved hjælp af netværksikonet foroven. Hvis din maskine bruger ethernet, behøver du ikke at gøre andet. Netforbindelsen bør allerede fungere.

Konfigurer Tor

For ikke at gøre vold på varemærker har Debian omdøbt den udgave af Firefox, der bliver brugt, til ”Iceweasel”. Den kan du finde et link til på din desktop. Den er allerede blevet konfigureret af sikkerhedshensyn, og den vigtigste funktion er, at den bruger Tor.

Det kan du sikre dig ved at åbne Iceweasels preference-dialogboks og klikke på ’Advanced’ efterfulgt af ’Network’ og ’Settings’. Den manuelle proxy-konfiguration viser, at browseranmodninger går gennem porte på den lokale maskine (localhost og 127.0.0.1). Sådan er Tor konfigureret.

Tor er den mest populære implementering af ”onion routing”, og den har modtaget Free Software Foundations pris for Projects of Social Benefit i marts. Den er beregnet til at give fuldstændig anonymitet online – ikke kun via webbrowsing, men også via de fleste andre protokoller, man bruger, herunder messenger-tjeneste og e-mail. Det gør den ved at sende ens anmodninger anonymt gennem en række konstant skiftende routere, der bliver varetaget af frivillige.

Sørg for, at Tor er konfigureret og kører rigtigt ved at pege din browser i retning af https://check.torproject.org. Du kan slå funktionen fra ved hjælp af det lille link forneden til højre i browservinduet.

Når du vil ændre Tor-konfigurationen, højreklikker du på dette link og vælger ’Preferences’. Den øverste valgmulighed kan anbefales til de fleste opsætninger, og den bør allerede være slået til, ligesom ’Use Polipo’, der er en cache-web-proxy, der kører på din maskine. Hvis du vil gå dybere ned i, hvordan proxyen er konfigureret, kan du se på filen /etc/polipo/config.

Til sidst finjusterer du den måde, hvorpå Tor arbejder sammen med din browser. Gå til knappen ’Security Settings’ under ’Preferences’. Disse sider er fulde af muligheder for at ændre kompromiset mellem onlinebekvemmelighed og sikkerhed. Du kan for eksempel muliggøre søgeforslag fra Google eller fravælge, at cookies bliver gemt, i ’Shutdown’.

Disse muligheder gør det muligt for dig at foretage dine egne kompromiser mellem bekvemmelighed og privatlivets fred. Når kontoen er oprettet, og mailmappen er opdateret, skal du nu klikke på knappen ’OpenPGP’ i applikationens værktøjsbjælke.

Den sikre desktop

Nu er du klar til at bruge dit system sikkert. Som du har set, er browseren klar til brug, men du skal stadig passe på og tage de samme forholdsregler, som du ville ved enhver browsing-oplevelse. Sørg for eksempel for, at du har styr på cookies, enten manuelt via Iceweasels præferencer eller automatisk via en af de manuelle cookiestyring-add-ons, man kan installere via browseren. Du bør så vidt muligt bruge https-forbindelser, for det beskytter yderligere de data, der passerer mellem din pc og fjernserveren.

Eftersom du tager sikkerhed og privatlivets fred alvorligt, er det usandsynligt, at du bruger en webmail-tjeneste såsom Gmail. Heldigvis er standard-e-mail-klienten i Privatix også blevet konfigureret med tanke på sikkerhed.

Ligesom med Iceweasel er Debians standard-e-mail-klient en omdøbt udgave af Thunderbird ved navn Icedove. Dens væsentligste sikkerhedstilføjelse er ”Enigmail”, der bliver installeret som standard. Med den kan man kryptere, afkryptere og signere e-mail-beskeder, mens man sender og modtager dem via Iceweasel.

Når du første gang starter e-mail-klienten, skal du skrive dine konto- og serveroplysninger. Thunderbird/Icedove er ret god til at gætte de korrekte standardindstillinger, når man skriver brugernavn og kodeord for en populær e-mail-udbyder.

Når det er indstillet, skal du klikke på OpenPGP-menuen og vælge ’Key management’. Dette vindue vil være tomt, fordi der ikke er registreret nogen nøglepar. Du opretter et nyt sæt ved at klikke på menuen ’Generate’ efterfulgt af ’New key pair’.

Skriv nu et kodeord til din nøgle, og vælg den e-mail-konto, du vil bruge det nye nøglepar til. Klik på ’Generate key’, og vent på, at proceslinjen bliver udfyldt. På vores Atom-baserede netbook på 1,6GHz tog det omkring 30 minutter. Du bliver også spurgt, om du vil generere et Revocation Certificate, der kan gendanne dine nøgler fra en server, hvis du mister din lokale privatenøgle.

Når du er tilbage i keymanager-vinduet, skal du klikke på ’Display all keys by default’ og notere dig din id-nøgle. Højreklik på nøglen, vælg ’Sent to keyserver’, og send din nøgle til standardvalget. Det betyder, at folk kan bruge din offentlige nøgle til at afkryptere dine beskeder eller din signatur og være sikre på, at de kommer fra dig.

Nu skal du blot beskytte dine e-mails ved at vælge ’Encryption’ i OpenPGP-menuen, når du skriver en e-mail. Så får du mulighed for at signere eller kryptere det hele. Modtageren skal blot have din offentlige nøgle for at kunne læse eller verificere mailen. Det giver garanti for, at ingen blander sig i din besked på dens vej til modtageren, og at dine data er sikre og anonyme.

Sådan sikrer du dine forbindelser med ssh

Secure Shell, ssh, er det mest alsidige kommandolinjeværktøj, man kan bruge. Med en enkelt kommando opretter det en sikker forbindelse til en fjernmaskine, der kører OpenSHH-server, og fra kommandoprompten kan man udføre alle kommandolinjeopgaver på fjernmaskinen.

Med Linux giver det dig adgang til næsten enhver funktion, du har brug for. Den er også nem at bruge. Hvis du for eksempel installerer serverpakken OpenSSH på en Ubuntu-maskine, skal du kun skrive ssh brugernavn@ubuntu_address og din brugers kodeord for at oprette en forbindelse. Ssh-klienter fås i alle mulige varianter, herunder versioner til mobiltelefoner og tablets foruden klienter til alle tænkelige pc-operativsystemer. Man kan få forbindelse overalt med næsten alting.

Der er imidlertid mere i ssh end kommandolinjen. Den kan også bruges som et hurtigt vpn, idet den kan forbinde porte fra en fjernmaskine til en lokal port. Skriv for eksempel ssh -L 5901:localhost:5901 brugernavn@ubuntu_address, så kommer port 5901 på fjernmaskinen frem ved port 5901 lokalt.

5901 bliver brugt af den fjerne vpn-desktop, og derfor sender denne kommando en fjerndesktop sikkert via ssh til en lokal maskine. Det er ideelt, hvis man vil have adgang til sin desktopmaskine fra en internetcafe. Man kan gøre det samme med andre porte, for eksempel ”80” til en webserver eller et konfigurationsfelt eller med porten til en proxyserver, der kan konfigureres med en browser lokalt. Det sender alle dine sideanmodninger til dit fjernnetværk gennem ssh.

Et virtuelt privat netværk (vpn) er et ormehul fra din lokale netværksforbindelse til et andet privat netværk, og det er som regel placeret i ens hjem eller på ens kontor. Det fører alle de fjerntjenester, der kører på fjernnetværket, gennem en sikker tunnel og konfigurerer den lokale maskine, så den tror, at den er direkte forbundet med tjenester, der kører på fjernnetværket.

Det betyder, at man kan sende og modtage e-mails eller læse en virksomheds intranet, som om man har adgang til en server på kontornetværket. Det betyder også, at man kan få adgang til enheder såsom lager og printere på samme måde. Hele tunnelen er krypteret, således at det er sikkert. Men konfigurering af et vpn er ikke altid nemt, fordi man skal have både klientsoftware og serversoftware kørende korrekt med de samme certifikater.

OpenVPN er en af de mest populære funktioner til Linux, og man kan installere den via distributionens pakkemanager. Hvis du bruger et Qnap-nas, kan du hurtigt installere OpenVPN’s serverpakker og komme i gang. Den fungerer nemlig uden nogen yderligere konfiguration. KDE og Gnomes indbyggede vpn-support er tilgængelig fra netværksappletten, som man kan bruge til at få forbindelse med fjernnetværket med blot et par klik.

[themepacific_accordion]
[themepacific_accordion_section title="Fakta"]