[Thread Ufficiale] QubesOS - Linux distro supersicura
 

Dato che dovevo piallare MX18 per installare MX19, ho deciso di fare una deviazione e provare a usare QubesOS.

QubesOS è una distro molto particolare ed unica nel suo genere che fa della virtualizzazione e della compartimentalizzazione le sue caratteristiche principali.
Grazie al sistema di compartimenti stagni è ritenuta una distro molto sicura tanto da essere utilizzata da personaggi come Ed Snowden.

La criticità sta nell'hardware, nel senso che è molto schizzinosa con l'hardware e se non funziona da subito risolvere i problemi non è facile (per esempio, con le schede nVidia sono dolori).

Ho provato ad installarla sul mio portatile (Lenovo 520 con i5 e 20GB ram) ed per fortuna ha funzionato da subito.
Non è adatta a computer con poca RAM, ci vogliono almeno 8GB anche se il sistema della gestione della Ram tra le macchine virtuali (i qubes) è fantastica.

Quello che ho trovato incredibile è la facilità con cui si possono fare e disfare macchine virtuali, si crea tutto in 2 secondi.
Di default il sistema offre anche macchine virtuali usa e getta vale a dire che vengono completamente cancellate una volta chiuse.
Inoltre supporta nativamente Tor attraverso Whonix. Gli altri OS di default sono fedora e debian10.

Vi rimando al link ufficiale, ma visto che vi sto scrivendo da Qubes e per ora la utilizzo come distro giornaliera, sarò lieto di rispondere ad eventuali domande.

https://www.qubes-os.org/

https://www.qubes-os.org/intro/

https://www.qubes-os.org/experts/

Ciao ho visto il video sul sito, mi pare molto carino.
Io oggi uso manjaro e varie macchine virtuali, quindi sarebbe adatto all' uso che ne faccio.
Ma vedo che ha molte limitazioni sulla parte HW.
:)

Ottima!!!!

Bella distro. Ne avevo sentito parlare da un collega del gruppo IT, ma non ho approfondito più di tanto.

Sposto nelle discussioni ufficiali.

Se puoi, metti qualche screen, un po' di storia ecc.

Ciao

Per gli screen provvedo in settimana, ora sono di corsa.

Beh la storia non è che la conosca molto in dettaglio, immagino sul sito si trovino le info.
E' una distro sviluppata prevalentemente da esperti in Polonia e si è sempre distinta per la spinta virtualizzazione e la gestione delle risorse a compartimenti stagni.

Come accennavo la cosa che fa in modo quasi magico è la gestione delle risorse hardware.
Faccio un esempio: con 20GB di RAM, Qubes assegna 4GB di RAM massima per ogni macchina (volendo poi si può personalizzare questo valore) ma in realtà si possono anche usare 8 macchine virtuali contemporaneamente perché Qubes abbasserà l'utilizzo di RAM al minimo (pensate ad un motore in folle) attorno ai 350MB spostando la RAM laddove serve.
Quindi non ci si trova impiccati come con Virtualbox che assegna una RAM fissa e quella rimane.

Altra cosa, la possibilità di usare VM disposable, vale a dire che finito di usarle si autodistruggono.

Ogni AppVM è come se fosse un pc a se stante.
Un esempio del mio setup è:
una VM per browsing casuale, una VM (vault) dove stanno file sensibili che non si connette mai ad internet (ma si aggiorna costantemente grazie al fatto che si aggiorna il TemplateVM su cui si basa - fedora o debian), una VM dedicata a rsync ed rclone.
Per esempio, la VM per browsing gira con VPN, mentre altre VM che si collegano al web (he ho fatta una solo per le operazioni bancarie) non usano la VPN.
Tutte le VM si possono clonare, copiare, fare backup, spostare, ecc il tutto con grande velocità.
Tenete conto che una qualunque VM nuova viene creata in circa 2 secondi e scegliete se si debba connettere o no, che applicazioni caricarci dal TemplateVM, ecc. Allo stesso modo, la cancellate con un clic.

Ogni Qube è praticamente un computer a sé stante, ci potete fare quello che volete senza incasinare gli altri.
Qualche giorno fa ho fatto un casino per colpa mia e ho dovuto re-installare tutto. Una volta installato il sistema, ho fatto il restore dei qube di cui avevo fatto il backup prima del casino e in pochi minuti mi sono ritrovato tutta la configurazione precedente, inclusi i documenti collocati in ogni qube.
Il restore è veramente completo, persino la storia dei comandi del terminal viene recuperata.

potresti provarla, perchè anche io usavo MX e poi varie macchine, ma per un utilizzo simile Qubes funziona molto meglio, soprattutto per il fatto che puoi tenere le macchine sempre accese e saltare da una all'altra istantaneamente.
Certo, devi verificare se gira sul tuo HW senza problemi.

La proverei volentieri ma non si installa, mi pare sia ancora molto legata all Hardware di sviluppo, su 3 laptop manco su 1 funziona :rolleyes:

Sono capitato quasi per caso in questo thread, ho iniziato a leggere e sembra una distribuzione molto interessante!
Appena ho tempo vorrei provarla, magari sul t450s.
Sicuramente continuo a seguire il thread.
Grazie @ase per la segnalazione!

Di solito i thinkpad funzionano senza problemi, puoi controllare nella lista HCL comunque.

https://www.qubes-os.org/hcl/

Ciao! Sono un "fan" di QubesOS, anche se ultimamente non lo utilizzo regolarmente.

Preciso che QubesOS non è una "distro" nel senso proprio, sottintendendo Linux, ma è basato su Xen, che è un hypervisor. Questo ne determina le funzionalità e anche la ristretta compatibilità hardware.

In estrema sintesi, tutto ciò che l'utente fa girare sul sistema è virtualizzato. Quel che si paga in termini di performance e di funzionalità, lo si guadagna in garanzia di continuità e soprattutto in sicurezza, che è l'obiettivo principale del progetto. Per contro, non è la scelta migliore se si desidera usare applicazioni time-critical, che mal sopportano di essere virtualizzate, o laddove occorra accesso diretto all'hardware.

Buon divertimento! :)

EDIT: per chi volesse approfondire Xen, ovviamente sulla rete c'è tutto dai sorgenti in su; segnalo però questa pagina, semplice e un po' datata, ma ben scritta: https://www.guruadvisor.net/it/virtu...nte-opensource

Buongiorno a tutti , continuo questo thread perchè il più completo che ho trovato riguardo a Qubes. Ho appena installato la distro sul mio PC e in fase di installazione ho avuto dei problemi di compatibilità Hardware , più precisamente ho ricevuto l'errore: "Hardware does not support IOMMU/VT-d/AMD-Vi"
L'installazione è comunque andata a buon fine e una volta finito ho controllato nel BIOS che le impostazioni di virtualizzazione fossero abilitate. Una volta riavviato il sistema ho notato che questo errore non è più comparso.
Informandomi un po sul web nel sito ufficiale ho capito che l'errore è dovuto appunto a requisiti hardware e questo renderebbe meno "sicura" tutta l'infrastruttura Qubes.
Come faccio a capire se anche dopo l'intervento nel BIOS mancano ancora queste caratteristiche Hardware? Lo chiedo perchè come dicevo prima appunto non è più comparso l'errore.
Grazie a tutti per la disponibilità

E' un problema di firmware AMDgpu che è buggato, probabile che con un aggiornamento successivo di Fedora (se non sbaglio Qubes gira ancora su Fedora 32) si sistemi o lo sistemino direttamente quelli di Qubes.
Se funziona tutto vai tranquillo.

ciao a tutti
sono intenzionato a usare qubes os sul mio ultimo pc questioni di privacy lavorativa dei miei nuovi clienti (gestisco account con dati sensibili e fornisco perciò più privacy possibile )
lo scopo è essere più "protetti "possibili
vorrei usare la peculiarità di qubes per creare più macchine virtuali (almeno 6 circa)
vorrei usare delle distro linux con persistenza su chiavetta su ogni singolo qubes
in modo da estrarle e metterle in cassaforte
navigherei con vpn multihop essendo siti non onion
su ogni qubes ci sarebbe :
la distro linux ovviamente,la vpn, browser vari 3/4 un paio di suite di finanza (ovviamente per linux ), un password manager e un app per wallet BTC
e da qubes applicherei mac spoofing

hardware intel i7 in su
ram 32 in su
geforce 2080 in su

ovviamente mi sono indirizzato su qubes per la facilità con cui aprire le WM nei vari qubes

domande
quanto mi rende "discreto" , non tracciabile questa configurazione?
quale ambiente grafico più userfriendly consigliate per qubes?
quale versione linux per chiavetta consigliate ?
quali requisti minimi hardware e quali ottimali?ù

grazie mille anticipatamente

per la chiavetta linux direi Whonix o Tails ma non sono persistenti quindi ogni volta perdi tutto. Se ti serve la persistenza ti consiglio MX.

Qubes funziona bene se...funziona bene nel senso se l'hardware è compatibile. Putroppo non lo puoi provare in live, quindi dovrai fare una prova dal vivo. Se ci sono delle incompatibilità, potrebbe diventare un macello. Prova e facci sapere. A me funzionava da dio (non lo sto più usando) ma avevo avuto fortuna perchè l'hardware (vecchiotto) era tutto riconosciuto.
Con la scheda NVIDIA la vedo duretta...

Con quella macchina lì valuterei una soluzione più tradizionale vale a dire distro linux di base (a tua scelta, ma ti direi fedora o opensuse) e poi macchine virtuali con Qemu/KVM.

ti ringrazio per le info :)

mi sono indirizzato a qubes perchè in tutti i libri e le risorse trovate su "anonimato" lo consigliano caldamente e mi sembrava abbastanza user friendly

quindi nei qubes poteri mettere os live?

io per la chiavetta pensavo a elementary os :)
cercavo più che altro di capire le specifiche migliori dell'hardware della chiavetta

a parte il sito ufficiale hai qualche altra risorsa online dove potermi informare?
sopratutto per le compatibilità?

grazie mille

il sito ufficiale resta il migliore, magari potresti vedere anche nella sezione apposita di reddit.
Io però sono pessimista con la scheda NVIDIA, secondo me avrai problemi. Non è detto che poi non si riescano a risolvere ma aspettati qualche sbattimento.
Vedi sul sito ufficiale le varie info su NVIDIA.

Nei Qubes hai le VM Whonix che usano Tor di default e che si cancellano automaticamente quando le spegni, quindi riparti sempre da zero senza lasciare tracce sul sistema operativo.

Non capisco la questione della chiavetta hardware, una qualunque chiavetta USB3 va bene, anche se tieni conto che sarà comunque lenta (rispetto, per esempio ad un HDD/SDD esterno).

visto che sei veramente disp ne approfitto
segna che t devo una birretta :D

proviamo a girare il punto di vista
io arrivo la mattina in ufficio
estraggo dalla 24 ore 5/6 chiavette ( sicuramente ssd più veloci che trovo) una per cliente e le inserisco nel pc
ognuna un mondo indipendente dall'altra
e mi si aprono a monitor 5/6 ambienti di lavoro ( contenenti quanto scritto nel 1° post )
senza particolari configurazioni pronti all'uso

quale configurazione software sarebbe ideale secondo te?

E' un inferno, hai l'NSA alle calcagna? :D

Qubes può essere una soluzione per le tue esigenze ma potrebbe non funzionare per incompatibilità hardware, secondo me molto probabile. Provala dal vivo e poi vedi.

Se Qubes non funziona, io farei cosi.

1. Distro linux a scelta come sistema principale, distro mainstream e aggiornata regolarmente, io ti consiglio fedora o opensuse TW.
Naturalmente disco completamente criptato con LUKS (tutte le distro di consentono di farlo in modo semplice da installer). Su questo OS non dovrai installare niente di aggiuntivo a parte quello per far girare le VM (vedi sotto).

2. Macchine virtuali, una per ogni cliente. Se hai bisogno di dati persistenti, usa una distro qualunque con la quale hai familiarità, se invece hai bisogno di cancellare tutto ogni volta usi Tails o Whonix. Le macchine virtuali (indipendentemente dalla distro che sceglierai) saranno anch'esse criptate quando fai l'installazione. Se sei proprio paranoico, come mi sembra :D, puoi anche collocare i dischi virtuali all'interno di container veracrypt (magari pure Hidden...:D). Certo è che è una configurazione incasinata, guadagni in sicurezza ma perdi in produttività.
Per far girare le macchine virtuali puoi usare Qemu/KVM, Virtualbox o VMWare Player. Vedi tu, ognuna ha vantaggi e svantaggi.
Ogni macchina ha la sua VPN, quindi quando usi una VPN anche sulla distro di base (punto1) sei già in multihop.

Una soluzione così secondo me è più pratica della gestione di 5-6 chiavette o HDD. Rischi che si rompano, di perderli, te ne dimentichi uno a casa, ecc. Inoltre collegare e lavorare su 5-6 chiavette/HDD in contemporanea può diventare pesante anche per macchina potente.

grazie mille
infatti pensavo che le pendrive o ssd esterni soffrissero di colli di bottiglia
ma che potessero rallentare hardware non c avevo pensato

diciamo che volgiamo offrire ai clienti rimasti post covid il surplus di una discreta sicurezza :D

mi sto guardando intorno sulle distro più user friendly e più comaptibilità hardware
qualcosa tipo linux mint o ubuntu mate
che ne dici?
grazie mille come sempre