Jump to content

Qubes - czym się różni od fedory ?


slabypingwin
 Share

Recommended Posts

Dziś na distroeatch  przeczytałem o ukazaniu się najnowszej wersji dystrybucji Qubes która z tego co tam piszą jest jakimś klonem fedory. Czy ktoś z was już testował to distro i może powiedzieć z czym ono jest lepszy a z czym gorszy od fedory bo plik ISO tego Linuxa ma 5,39 GB i zastanawiam się czy warto tyle mobilnego internetu marnować na jego pobranie jeśli w tej chwili mam zainstalowaną fedorę 36.

Link to comment
Share on other sites

Ten system to w dużym uproszczeniu user-friendly host maszyn wirtualnych, dzięki czemu można podzielić sobie jeden komputer na wiele domen - każda do innej odpowiedzialności.

Mam np. jedną do bankowości, drugą do luźnego przeglądania internetu, trzecią do pracy (w której mam klucze, VPN, etc.). Używam i mogę sporo opowiedzieć.

 

Czy warto w tym momencie? Należy pamiętać, że to nie będzie jeden system, a wiele systemów (wiele Fedor 36) uruchomionych na raz, w związku z czym wymagania drastycznie rosną. No i nie ma zagnieżdżonej wirtualizacji, przez co nie mogę tam używać np. Vagranta, ale do ogólnego zastosowania serdecznie polecam.

 

Jeśli Cię zaciekawiłem, to wołaj - opowiem więcej.

  • Upvote 1
Link to comment
Share on other sites

Dla osób znających język angielski polecam zapoznać się minimum z oficjalną stroną i wstępem:
https://www.qubes-os.org/
https://www.qubes-os.org/intro/

System jest o tyle ciekawy, że autorzy połączyli dwie sprzeczne ze sobą rzeczy - silną izolację zapewnioną przez maszyny wirtualne i integrację, aby wszystko wyglądało, jakby działało natywnie.
Bardzo fajnie jest zrealizowane GUI - każde okno ma dekorację z nazwą maszyny wirtualnej, w której jest uruchomione i ma ona jeden z ośmiu predefiniowanych kolorów do wyboru - dzięki temu można wizualnie łatwiej odróżnić jedną maszynę od drugiej.
Np. pracując w EuroLinux, której to firmy logo ma kolor niebieski, maszyna wirtualna do tej pracy też ma obwódki w kolorze niebieskim, z kolei te, w których zajmuję się finansami, mają kolor zielony. Od razu widać różnicę, niemniej jednak mógłbym sobie wszystkie ustawić np. szare i nadal byłyby do rozróżnienia, bo przed nazwą okna jest też nazwa maszyny wirtualnej. To jest nie do podrobienia przez malware, jako że nie są one widoczne z punktu widzenia danej wirtualki - inna jest odpowiedzialna za ich rysowanie.
Tutaj screeny: https://www.qubes-os.org/screenshots/

System polecałbym pracownikom biurowym. Jeśli dostałbym CV, które jest złośliwym oprogramowaniem i wykorzystuje błąd w czytniku PDFów, żeby ściągnąć malware szyfrujący dane albo samo z siebie szyfruje, to mogę kliknąć prawym przyciskiem myszy na pobrane CV i otworzyć je w tzw. Disposable VM - tymczasowej maszynie wirtualnej stworzonej na szybko tylko po to, żeby obejrzeć CV, a po zamknięciu czytnika niszczonej. Może ona też dla większego bezpieczeństwa nie mieć połączenia z internetem.

Brak połączenia z internetem też daje mi spokój sumienia w kontekście wirtualki, w której trzymam bazy haseł, zarchiwizowane dane, muzykę i inne. Nie ma potrzeby, żeby miała połączenie, więc nie ma. A jeśli trzeba skopiować hasło czy plik do innej wirtualki, to trzeba po prostu wykonać dodatkowy skrót klawiszowy, a system zajmie się resztą.

Przykładowy listing:

[user@vault ~]$ ip -c a
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN group default qlen 1000
    link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
    inet 127.0.0.1/8 scope host lo
       valid_lft forever preferred_lft forever
    inet6 ::1/128 scope host 
       valid_lft forever preferred_lft forever
       
[user@general ~]$ ip -c a
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN group default qlen 1000
    link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
    inet 127.0.0.1/8 scope host lo
       valid_lft forever preferred_lft forever
    inet6 ::1/128 scope host 
       valid_lft forever preferred_lft forever
2: eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc mq state UP group default qlen 1000
    link/ether 00:16:3e:5e:6c:00 brd ff:ff:ff:ff:ff:ff
    inet 10.137.0.22/32 scope global eth0
       valid_lft forever preferred_lft forever
    inet6 fe80::216:3eff:fe5e:6c00/64 scope link 
       valid_lft forever preferred_lft forever

user@eurolinux:~$ ip -c a
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN group default qlen 1000
    link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
    inet 127.0.0.1/8 scope host lo
       valid_lft forever preferred_lft forever
    inet6 ::1/128 scope host 
       valid_lft forever preferred_lft forever
2: eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc mq state UP group default qlen 1000
    link/ether 00:16:3e:5e:6c:00 brd ff:ff:ff:ff:ff:ff
    inet 10.137.0.19/32 scope global noprefixroute eth0
       valid_lft forever preferred_lft forever
    inet6 fe80::216:3eff:fe5e:6c00/64 scope link 
       valid_lft forever preferred_lft forever
3: tun0: <POINTOPOINT,MULTICAST,NOARP,UP,LOWER_UP> mtu 1500 qdisc fq_codel state UNKNOWN group default qlen 500
    link/none 
    inet 192.168.130.60/24 brd 192.168.130.255 scope global noprefixroute tun0
       valid_lft forever preferred_lft forever
    inet6 fe80::121a:ea23:9a7e:778/64 scope link stable-privacy 
       valid_lft forever preferred_lft forever

Przykładowo: maszyna wirtualna do pracy w EuroLinux ma tam stosowne klucze "zawodowe", bazy, połączenie VPN, podpięty mikrofon do wideokonferencji i kamerkę.
Maszyna wirtualna przechowująca "pamiątki" nie ma połączenia z internetem
Maszyna wirtualna do prowadzenia mojej prywatnej strony i ogólnych spraw kreatywnych ma inne klucze i jestem zalogowany do dashboardu Neocities, na DeviantArt i na moje niezawodowe konto na GitHub.
Maszyna wirtualna powiązana z bankiem służy tylko do operacji... powiązanych z bankiem, m.in. logowania się do niego, do zakupów na portalach internetowych, do Profilu Zaufanego i spraw urzędowych.
Maszyna wirtualna do Discorda i innych niebezpiecznych programów nie ma dostępu do mikrofonu, kamerki i moich innych kluczy. Musiałbym w ramach rozmowy głosowej z własnej woli go dopiero przekierować do tej maszyny wirtualnej.
Każda z nich jest od siebie niezależna i mają tylko pewne wspólne cechy: wszystkie to Fedory 36 i zarządza nimi w sposób scentralizowany hipernadzorca. Współdzielą szablon (system plików roota), który wraca do swojego poprzedniego stanu po restarcie i mogę go też zaktualizować dla wszystkich maszyn jednocześnie (bo w końcu jest współdzielony), ale mają własne katalogi domowe.

  • Upvote 1
Link to comment
Share on other sites

Skopiowałem wczoraj plik iso tego Qubes-a na pendriva z programem Ventoy ale instalator tego qubes-a w pewnej chwili stanął , długo ''myślał '' ,

po czym wywalił wiele linijek z tym samym komunikatem o błędzie i na tym się zakończyło . Z tego co piszecie to wynika , że jest to distro dla zaawansowanych userów . Ja też wolę używać linuksa zamiast windows do przeglądania neta a zwłaszcza do bankowości internetowej albo flashowania smartfona .. Ale wystarczy mi do tego dystrybucja zainstalowana obok winshita 11 . Nie  potrzebuję chyba maszym wirtualnych .....

Link to comment
Share on other sites

Moja filozofia jest taka, żeby zawsze dobierać narzędzie do rozwiązania konkretnego wyzwania.

Jeśli nie ma potrzeby wirtualizowania ani takiego bezpieczeństwa, jakiego ja potrzebuję (z powodów zawodowych, ale nie tylko), to też powinna wystarczyć klasyczna Fedora.

Tym bardziej jest to uzasadnione, że coś się stało z instalatorem i nie ma sensu sobie psuć niepotrzebnie nerwów.

Jedynie nie zgodziłbym się ze stwierdzeniem o zaawansowanych użytkownikach. Racja, wprowadza pewne nowe koncepty, ale jest stworzony z myślą o pracownikach biurowych, dziennikarzach w krajach objętych wojną, krajach w których łamie się prawa człowieka, etc. - w takim przypadku nie ma czasu na naukę absolutnie wszystkiego od zera.

Inaczej mówiąc: czuję się jak w domu, wiedząc, że mogę się skupić na pracy czy innych sprawach, a zarządzanie systemem, aktualizacje, etc. są całkowicie do wyklikania.

Coś się po prostu musiało stać podczas nagrywania i stąd teraz mogą się pojawiać przykre wspomnienia.

Link to comment
Share on other sites

  • 2 weeks later...

Jako że domyślnie nie ma włączonych pewnych funkcjonalności dla ludzi ceniących sobie prywatność, postanowiłem napisać pewne sztuczki po swojemu.

Randomizacja adresu MAC i nazwy hosta w stylu laptopów z Windows.
Poniższe musi się wykonać w template dla maszyny sys-net, która w moim przypadku dodatkowo jest disposable - przy każdym uruchomieniu nie zostają zapisywane zmiany, przez co nie wysyła nazw access pointów, do których się łączyłem:

$ cat /rw/config/qubes-bind-dirs.d/50_user.conf
binds+=( '/etc/NetworkManager/conf.d' )

$ cat /etc/NetworkManager/conf.d/00-macrandomize.conf
[device]
wifi.scan-rand-mac-address=yes

[connection]
wifi.cloned-mac-address=random
ethernet.cloned-mac-address=random

$ cat /rw/config/rc.local
#!/bin/sh
bash -c 'name="LAPTOP-$(head /dev/urandom | tr -cd \"A-Z0-9\" | fold -w8 | grep -v "\"" | head -n1)" && \
echo "$name" > /etc/hostname && \
hostname "$name" && \
ipv4_localhost_re="127\.0\.0\.1" && \
sed -i "s/^\($ipv4_localhost_re\(\s.*\)*\s\).*$/\1${name}/" /etc/hosts && \
sed -i "s/^\(::1\(\s.*\)*\s\).*$/\1${name}/" /etc/hosts'
  • Upvote 1
Link to comment
Share on other sites

Masz jakąś pulę adresów mac, z której NM losuje adres? Mi by się to przydało, bo mogę z jednej strony zapisać na MACi na serwerze dhcp, a z drugiej są wystarczająco losowe do oszukania mechanizmów śledzących.

Link to comment
Share on other sites

8 minut temu, SeeM napisał:

Masz jakąś pulę adresów mac, z której NM losuje adres? Mi by się to przydało, bo mogę z jednej strony zapisać na MACi na serwerze dhcp,

To dla zaufanego połączenia zastosuj stały adres MAC, a dla pozostałych losowy.

Zobacz ostatni przykład z  https://fedoramagazine.org/randomize-mac-address-nm/

https://blogs.gnome.org/thaller/2016/08/26/mac-address-spoofing-in-networkmanager-1-4-0/

Link to comment
Share on other sites

Jak najbardziej można korzystać z innych hipernadzorców, ale traci się wtedy wiele fajnych rzeczy, jak integracja GUI, możliwość łatwego kopiowania i wklejania tylko na żądanie, współdzielone systemy plików oszczędzające miejsce, system backupowania, scentralizowane aktualizacje, możliwość wymiany systemu operacyjnego na żądanie (np. moja domena obsługująca połączenie z Internetem i urządzenia USB to Fedora 32, a pozostałe to Fedory 36 - mogę sobie kilkoma kliknięciami je zmienić).

Analogicznie, można też kupić wiele komputerów i w ten sposób separować aktywność - każdy komputer to jedna domena do jednej odpowiedzialności. Równie niewygodne jest wtedy przenoszenie danych.

Jednak rozumiem, że różne osoby mogą mieć różne przypadki użycia i inne narzędzia się sprawdzą. Jak chcesz, to napisz, jaki efekt chcesz osiągnąć i możemy zrobić burzę mózgów.

Link to comment
Share on other sites

Poprzez program boxes zainstalowałem Freebsd 13. 1

Wybrałem do instalacji 64 bitową wersję tego systemu na DVD. 

Instalator tej wersji tego systemu nie zapytał jakie środowisko graficzne ma być zainstalowane. Teraz zainstalowany system bsd uruchamia się ale tylko tekstowo nie wiem co w nim trzeba skonfigurować lub doinstalować by pokazał jakikolwiek graficzny pulpit.... 

Link to comment
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
 Share

×
×
  • Create New...