一些人可能会认为这是“锡箔”思维方式,但是正如全球各地的许多情报组织的信息反馈中看到的,政府监视已从被认为一种疯狂的阴谋论变成了几乎赤裸裸的公然威胁。关注隐私、希望尽可能不被人监视的那些人会发现,如果使用得当,Linux是一款相当有用的工具。实际上,在网上尽量保持匿名的那些人会发觉Linux是唯一的选择,因为众所周知,Windows和Mac OS X会收集关于用户的尽可能多的信息。只要上网搜索“Windows 10监视”或“Mac OS X隐私”,你就会有切身的体会。
在我们开始入手之前,想完全确保计算机安全、私密,唯一的办法就是从互联网上断开,并关闭电源。因为连接到互联网的设备不可能做到绝对百分百安全。总是有办法避开安全机制,就算没有,也会有人不断开发出工具,找到新的法子。所以,这里的指导原则并不是要求更改计算机上的几个设置,你就可以建立起坚不可摧的堡垒,而是说要设置尽可能多的障碍,尽量让任何潜在的攻击者或间谍很难访问你的系统或私密信息。
你可以使用几个Linux工具,尽可能保持匿名性(同样在当下,这越来越难做到,但是如果隐私对你来说很重要,你已经知道英勇地抵抗的重要性)。
我们要介绍的第一款工具是Tails OS(https://tails.boum.org),不过说它是“工具”也许用词不当,因为Tails是一款完整的Linux发行版,而不仅仅是工具。Tails旨在成为一款匿名、可自我销毁的操作系统,一旦你用完,它就会抹除任何存在的痕迹。很显然,它不大适合用作日常发行版,但是如果网上有你需要访问的东西,你又想保持私密,或者想匿名浏览,那么Tails是不错的选择。Tails完全作为Live系统来运行,一旦关闭,就会清除自己,而不是永久地安装在硬盘上。
你可以在上述链接处下载最新的Tails ISO文件,把它刻录到DVD或拷贝到可启动闪驱上(后者容易得多,耗时较短,浪费的空间也较少)。Linux有几个工具来刻录DVD,主要是Brasero和DeVeDe。或者,如果你更希望制作一个可启动闪驱,会发觉Unetbootin很理想(或者可以在终端使用“dd”命令,如果你熟悉该命令的话)。一旦将Tails拷贝到可启动介质上,只要用它来启动计算机,就像安装新的操作系统或运行Live系统那样。
Tails网站似乎只允许你用火狐或Tor浏览器下载Tails。我试图通过谷歌Chrome下载ISO文件时,它告诉我浏览器不支持。它还迫使你安装火狐浏览器附件,一旦安装完毕,该附件会使用校验和验证机制,自动验证ISO下载软件。这实际上实施了一项很好的安全措施,因为它确保你不会得到一份损坏的Tails,不然里面可能会有安全漏洞,就像Linux Mint发生的情况那样。
一旦你启动进入到Tails,它会引导你完成一些初始安装步骤,这些步骤相当简单直观。若有疑问,查阅说明文档。Tails的一个关键特性是,所有互联网连接自动通过Tor网络进行路由连接,进一步增强了匿名性。如果你不熟悉Tor网络,我们在后面探讨Tor浏览器时会有介绍。Tails内置的另一项重要特性就是MAC地址欺骗,我们在探讨macchanger工具时会有更深入的介绍。
就一句话,如果你需要一款临时的Live操作系统,一旦关闭,就会抹除自己(想想影片《碟中谍》中自我销毁的信息,不过没有那么夸张),那么Tails是不二之选。想更深入地了解Tails,务必访问官方网站(https://tails.boum.org/index.en.html)。
我们要介绍的下一款工具是Tor浏览器(https://www.torproject.org/projects/torbrowser.html.en),这是Tor项目(Tor Project)的产品,而该组织致力于确保在线隐私和安全。如上所述,这款工具已经内置在Tails OS中,但你也可以将它安装到喜欢的任何操作系统上,因为它们有适用于Windows、Mac和Linux的版本。据我所知,不可能在任何官方的Linux软件库中找到它,所以你需要从上述网址链接下载它。
若使用平常的互联网连接,流量从请求信息的主机直接传输到提供所请求信息的服务器,通常在服务器与服务器之间会有另外几个跳(hop),以便流量传输到预期的目的地。然而,这可能很容易被人跟踪,哪怕你删除了浏览历史刻录。所以,Tor浏览器所做的是将你的流量路由到Tor网络里面许多不同的中间服务器(名为节点),它们的作用就是隐藏流量的初始源头,之后通过一个退出节点退出Tor网络,最后抵达预期的目的地。正如你所想,这会导致浏览速度慢一点,但是如果隐私很要紧,就要学会为了匿名上网浏览而忍受牺牲一些速度。建议只有在某项特定的任务或某些任务需要用户格外小心时,才使用Tor浏览器,而不是用作日常浏览器。
Tor浏览器是火狐的一个分支,所以你可以安装偏爱的附件,比如Adblock Plus、uBlock Origin和DownThemAll等,但要知道:安装的任何附件可能会削弱Tor的安全性,因而会将你置于险境,那样当初使用它的目的就荡然无存。对于你选择安装的东西要小心。事实上,Tor强烈推荐不要安装任何的浏览器插件。请注意:如果你正好住在互联网受到审查的地区,Tor浏览器还会避开Web过滤器。
一些隐藏的网站(又叫“洋葱”)使用了隐蔽的URL,只能通过Tor浏览器来访问。比如说,现已关闭的Silk Road就是其中一个“洋葱”网站,因为它只能通过Tor浏览器来访问。如果你试图通过普通浏览器来访问这些链接,就找不到它们。另外,推特等一些网站会查明流量是不是通过Tor网络进来的,因而几乎不可能拥有一个匿名推特帐户,因为如果你试图创建推特帐户,并通过Tor使用帐户,推特就会要求你提供电话号码。要是有谁知道不用购买话费预付的一次性手机就能避开这个限制,欢迎留言告知。
另外值得一提的是,Tor浏览器不是神奇的“把我隐藏起来”按钮。它仍可能被你的浏览习惯所跟踪。要明智而审慎,记住:无论你喜不喜欢,通过计算机执行的每个操作都会在网络中留下痕迹。
另外有必要指出,最近,FBI发现并披露了Tor浏览器的漏洞,让他们得以跟踪和逮捕嫌犯。所以,除非Tor项目团队发现并修复了这个漏洞,否则Tor仍然很薄弱、易受攻击,不过它与普通浏览器相比还是大有优势。正由于如此,单单使用Tor而不同时运行Tails OS也许是个坏的想法。一定要谨慎使用。
还有一款安卓上的移动Tor解决方案,名为Orbot,它使用OrFox浏览器,在Google Play和F-Droid上都可以下载。
由于提高了Web流量的安全性,虚拟专用网络(VPN)也值得关注。
说到互联网流量,有两种地址:IP地址和MAC地址。你可能已经很熟悉IP地址,但是对于MAC地址可能不太了解。
IP地址一般由网络的路由器或DHCP服务器(家用路由器内置了DHCP服务器)自动分配。这基本上就是你的网络地址,随时可能会有变化。如果你想要设置一个不变的静态IP地址,而不是自动分配地址,也可以这么做(这通常适合网络上的打印机及其他共享外设。)除了所有出入流量实际上使用的外部IP地址外(如果你想看看外部地址,不妨进入到IPChicken),你通常还会有一个内部IP地址,它存在于本地网络上(可能是192.168.1.x或192.168.0.x)。
然而,除了IP地址外,还有MAC地址。不像IP地址,MAC地址以物理方式固化到网络设备中,无法改变。正因为如此,MAC地址又叫硬件地址。互联网流量同时使用IP地址和MAC地址来指导把数据正确地路由到何处。因此,除了使用Tor浏览器隐藏IP地址外,使用MAC地址欺骗隐藏MAC地址也是个好主意。
再说一遍,不可能像改变IP地址那样改变MAC地址,不过你可以欺骗MAC地址,那样它似乎是别的地址。如前所述,这已经内置到Tails OS中,但是你在其他发行版上也能这么做。我偏爱的工具是macchanger,这是个简单的终端命令,让你可以欺骗MAC地址,只要你觉得合适就行。要是在官方软件库中找不到该工具(sudo apt-get install macchanger),可以从GitHub或GNU网站下载macchanger。
使用macchanger的最简单方式就是使用-r(随机)标志,以便创建一个随机性的MAC地址,但从我使用Ubuntu 14.04 LTS来看,我从来无法做到这一点。命令是会执行,但是MAC地址实际上根本没有变化。不过那是很早以前的事,macchanger此后似乎已经过了更新。截至本文截稿时,它在Linux Mint中似乎完全没有问题,开发人员甚至增添了一项自动功能,那样每当设备重启,你的MAC地址就会变化,因而比以前更容易了。
一旦你的设备重新启动,现在它似乎有了不同的MAC地址,也就是说地址受到了欺骗。再加上Tor浏览器及/或Tails OS,有助于尽可能隐藏你的网上身份。
全盘加密是个相当复杂的过程。就一句话,如果你想加密数据,全盘加密就是不二选择,因为要是没有加密短语,任何人休想物理访问你硬盘上的任何信息。
有许多方法可以手动配置全盘加密,但是它们都超出了我所能理解的范围。因而,安装全盘加密的最简易方法就是在安装Linux发行版的过程中来实现。
如果你使用Ubuntu或Linux Mint,就会注意到,在安装过程中,看到“安装类型”屏幕时,在“安装Ubuntu/Linux Mint”下面有两个复选框,分别显示“加密新的Ubuntu/Mint安装系统,以确保安全”和“结合使用LVM(逻辑卷管理)和新的Ubuntu/Mint安装系统”。我通常会勾选这两个方框,让Ubuntu/Mint处理其余任务。然而,要注意:如果你更想设置自己的自定义分区方案,就无法在这里这么做,因为这个选项会导致Ubuntu/Mint为你处理分区。仍可以进入到“别的方法”,安装自己的加密分区,但那样会变得复杂一点,那需要另一篇文章来探讨。
这个过程还适用于其他发行版,不过我自己的经历仅限于Ubuntu和Mint。
如果你只想加密Linux系统上的某些文件夹,另一款使用方便的实用工具是encfs,你应该能在官方软件库中找到它。encfs让你可以创建一个加密文件夹,要是没有加密短语,就无法打开和查看该文件夹。要注意:这并不引起加密文件夹完全消失于系统,因为聪明的人仍可以找到该加密文件夹的位置(如果你知道该去哪里找它,可能也能搞清楚),不过要是没有加密短语,无法访问其内容。
另一款流行的加密工具是VeraCrypt,它已取代流行而现已日渐式微的TrueCrypt。
当然,别忘了必需的XKCD。
正如你所见,Linux可为你提供一系列广泛的隐私和安全解决方案。本文提到的只不过是一些基本工具,高级用户可能会发现其他更复杂但更可靠的安全方式。然而,对于普通用户来说,这些工具能够很好地兼顾易用性和安全性。欢迎留言交流!