Blog.nechutny.net

Blog o webu a IT.

Qubes-OS

January 14, 2016 - Stanislav Nechutný - Linux, Programování

Jedná se o konceptem velmi zajímavý operační systém, který jsem se rozhodl vyzkoušet. Zprvu se ho pokusím trochu představit. Qubes OS se zaměřuje na bezpečnost, ale na rozdíl od systémů jako Kali linux apod. není jeho cílem přinést nástroje pro pentesting, ale naopak zabezpečit váš počítač ať už děláte téměř cokoliv.

V systému můžete mít několik šablon operačních systémů, ať už linuxové OS, tak Windows. Z nich následně můžete vytvořit různý počet domén, které jsou základem celého konceptu. Ve výsledku to vypadá, jako byste měli zapnuto několik virtuálních strojů ve Virtualboxu v bezešvém režimu. Každé okno aplikace má však jasné barevné rozlišení z jaké domény je a je použit XEN jako hypervisor. Můžete si tak vytvořit doménu pro pracovní projekty v zaměstnání, od stejné šablony odvodit další doménu pro vlastní projekty, doménu pro osobní věci a škola může být dalším. Počet domén je zcela na vás, ale je lepší držet rozumný počet.

Od tohoto systému jsem si sliboval pohodlné řešení práce s aplikacemi pod různými OS. Například používaný osciloskop do USB má aplikaci pouze pro Windows, stejně tak byl problém rozjet Eagle na Fedoře pro zobrazování eletronických schémat. Stejně tak je zas problém rozjet starší verzi HPHPc na aktuální Fedoře a tak budu moci mít i Debian apod. Možnost zkoumání neznámých aplikací v izolovaném prostředí je pak už třešničkou na dortu.

Jdeme instalovat

Pro instalaci jsem zvolil Verzi 3.1 RC1, stahl iso a zapsal jej z linuxu pomocí příkazu dd na flash usb. Tento postup uvedený v dokumentaci však není vhodný, protože narazíte na chybu při bootování. Na usb se použije souborový systém isofs, který je pouze pro čtení. Boot tedy pak padne na chybě /dev/mapper/live-rw is read-only a nedostanete se dál. Další můj krok vedl k použití Unetbootin, který ovšem také nefungoval. Ten zas vytvořil disk, který neprošel za nabídku Grubu. Je tedy potřeba použít Rufus ve Windows. Tento nástroj na práci s USB a zápis iso obrazů jsem objevil nedávno a funguje dokonale na vše.

Po přípravě instalačního media se můžeme pustit do instalace. První je třeba zvolit klasický boot bez UEFI. Při instalaci si zvolíte disky a klasické věci, jako při instalaci Fedory. Po instalaci vás přivítá průvodce, který založí uživatele a šablony pro domény. Mě na konci průvodce failnul a možná proto jsem neměl funkční síť.

Zprovoznění síťě

Po přihlášení váš přivítá klasické KDE4 s nabídkou a plochou. Prvním krokem, kterého jsem chtěl docílit bylo zprovoznění síťě. Pro tento krok jsem po chvilce hledání v Qubes VM Manager vytvořil novou doménu založenou na Debian 8, nastavil jako NetVM a přidal síťovku. Start VM a na spodní liště se zahlásil Network Manager, který si načetl konfiguraci z DHCP. Bylo pak už jen třeba otevřít Firefox a proklikat Captive portal, který je nasazen na připojeném Mikrotiku. Pro další domény používající tento VM už není třeba proklikávat - NetVM funguje jako NAT. Stačilo v šabloně nainstalovat balíček firmware-iwlwifi pro zprovoznění WiFi adaptéru Intel 7260 a síť byla vyřešena.

Šablony

Nakonec jsem skončil u následujících šablon a domén:

  • Fedora - Osobní - doinstalovaný prohlížeč, VLC, OO.org apod.
  • Fedora - Práce, práce 2, škola - nainstalována IDE, knihovny, debuggery...
  • Debian - Práce, experimenty
  • Windows - Škola

Qubes OS - ukázka spuštěných aplikací z různých domén

Používání - vyhodnocení

Tomuto systému jsem dal nakonec tři dny i když jsem jej zamýšlel používat běžně. Ukázalo se, že má očekávání byla odlišná od toho, co tento systém přináší. Když jsem více uvažoval, tak moje očekávání byla spíše blíže Dockeru.

Pokud bych byl bezpečnostní analytik, jehož denní prací je zkoumání různých aplikací, hacker tvořící nekalosti, či měl na počítači důvěrná data a používal ho i jako osobní, tak ideální volba. V případě, kdy jste vývojář, který programuje C, C++ a PHP, potřebujete občas zkompilovat kernel do nějakého embeded zařízení a připojit HW na seriový port, tak toto není pro vás, stejně jako pro mě. Jen dostat seriový port do pracovní domény je složité, zdlouhavé a neobejde se bez restartu AppVM.

Technické řešení a návrh je velmi pěkný a na používání příjemný. Celý koncept se mi i po vyzkoušení zamlouvá a třeba se k němu v budoucnu vrátím. Nyní na tento stroj půjde nejspíš Ubuntu s MATE + Virtual Box a Docker. Uvidíme, jak se Ubuntu posunulo za tu dobu co jsem byl na Fedoře.

Jinde

  1. Oficiální stránka
  2. Linkedin
  3. GitHub

© 2013-2024 Nechutny.netNahoru