ההפצה הכי מגניבה – qubes os

החלטתי לשחק קצת עם הפצות, ומצאתי את ההפצה QUBES OS. האתר בית שלה הוא כאן: https://www.qubes-os.org/ . היא מיועדת בעיקר לאוהבי פרטיות… אבל יש בה מלא טריקים ממש מגניבים.

המערכת בגדול יש לה קונצפט של qubes – הם בעצם מערכות הפעלה (לא רק לינוקס) שהן כולן virtualized ולכן הן מנותקות אחת מהשנייה. בכל qube יש הפצה שלמה כך שנוצרת הפרדה מלאה בין פרופיל של עבודה ופרופיל פרטי (למשל ככה אני עובד בה). יש בה גם qubes שנמחקים מיידית – אתה פותח דפדפן, ומסוף… וברגע שאתה סוגר – פוף – הכל נעלם.

המערכת בגדול היא Fedora/RedHat (הם קוראים לזה כאן dom0) שמעליה עשו מלא תפירות כדי שכל ה-Guests יעבדו בצורה שקופה (הרב המוחלט של הדברים הוא גרפי לגמרי כאן, וזה מדהים!). הסביבת עבודה היא XFCE אבל יש אפשרות להתקין גם KDE שם… אבל, בכל אחד מה־qubes אפשר להתקין את כל התוכנות שאתם רוצים. נו, virtualized environments FTW. הכל מבודד אחד מהשני!

הדברים המגניבים

  1. כשמחברים התקן – יש חלון שמציג מה התחבר. כמו ב־Windows… זה היה חסר לי האמת.
  2. כל qube הוא מנותק מהחומרה לגמרי. ואז צריך לעשות pass trough כדי לקבל גישה אליהם (למשל אני צריך USB serial להעביר לפרופיל עובדה כדי לצרוב חמורה, או להעביר את המצלמה אל הדפדפן וכו’).
  3. חלונות של כל qube יש להם מסגרת בצבע שונה, צהוב, ירוק, כחול וכו’. מאוד עוזר להבין מה שייך לאן.
  4. dom0 אין לו גישה לרשת בכלל! ככה שאם יש בעייה – המחשב ימשיך לעבוד. שהוירוסים יהרסו מכונות מדומות ולא את המערכת הראשית. גאוני.
  5. בגלל הקטע של ריבוי מערכות הפעלה – לבדוק הפצה חדשה זה … פשוט מיידי. ב־qube הפרטי יש לי Debian ובעבודה Redhat/Fedora (אני אפילו לא יודע, ולא מעניין… זה פשוט עובד!)
  6. ה־clibpboard הוא… מעניין. אתה מעתיק משהו, וזה מגיע אל dom0. ואז אתה יכול לדביק אותו אל qube מסויים והוא נמחק מ־dom0, בתוך אותו qube אתה יכול להדביק כרגיל, כמה פעמים שתרצה. (זה קצת מתסכל כי אתה צריך להדביק קודם כל אל המכונה, ואז ללחוץ שוב על קיצור מקשים שוב כדי להדביק בתוכנה). אבל – הם פתרו את הבעייה הזאת בין מכונות ויאטואלית!
  7. המערכת קבצים פה מבוססת volumes ולא מחיצות כמו שיש בעולם ה־PC . זה אומר שאם ב־qube הפרטי נגמר לי המקום (כברירת מחדל הם מקצים כמה ג’יגות בודדות לכל מערכת), תוך כדי ריצה אפשר להדגיל את ה־rootfs של המערכת. לא מצריך reboot של ה־guest/qube.
  8. בכל מקום אין ססמאות root. אין בזה צורך. המחשב יש לו ססמה כשהוא עולה (הצפנה של דיסק) ואז ססמה של משתמש. הקשת ססמת sudo עבור container פשוט מיותר.
  9. כברירת מחדל המחשב משתמש ב־XFCE וב־xscreensaver. וזה אומר שכשאני פותח אותו מיידית אני רואה את מסך הנעילה (במקום שנייה ב־GNome או KDE). כמו כן – אני מזכיר שהיו בעיות בנועלי מסך בשנים האחרונות: https://www.jwz.org/xscreensaver/toolkits.html

הבעיות

  1. הממשק של dom0 הוא XCFE, בעבר השתמשו ב־KDE אבל החליטו לעבור. אני צריך קודם כל להבין איך משתמש ב־KDE כאן (או גנום האמת, אני משתמש בה המון) – ואז להבין למה הייתה החלטה לעבור מזה.
  2. התמיכה במקלדת שהיא לא אנגלית בכל qube … בעייה. אין להם אפשרות לעבור את המקלדת של dom0 אל ה־qube.
    https://github.com/QubesOS/qubes-issues/issues/1396
  3. צריך להודות באמת…dom0 הוא מימי הביניים. ההפצה שיושבת על הברזלים עצמם, היא קצת ישנה…(Fedora 25) ואצלי היא עשתה “אופס” והייתי צריך להפעיל מחדש כדי לקבל רשת.
  4. לא יצא לי למדוד… אבל צריכת הזכרון והסוללה (!) יותר גבוהות מהפצה פשוטה.
  5. הפעלה של תוכניות בתוך qube חדש, לוקחת כמה שניות. אחרי שה־qube עלה זה מתנהג טוב.
  6. אין אפשרות להפעיל ווידאו במסך מלא. יש חוק בל יעבר במערכת הזאת, שאין חלון שתופס את כל המסך. זאת הסיבה שבגללה אי אפשר לצפות בווידאו בצורה נורמאלית במערכת הזאת. (וזאת הסיבה שמחקתי בסופו של דבר).

לסיכום: אני לא חשבתי שאפשר לעשות משהו שונה בהפצת לינוקס. ו-QubesOS תפסה אותי בהפתעה מוחלטת. יש לי כבוד רב לאנשים שעשו את העבודה הנפלאה הזאת. וכן, בכוונה התעלמתי לגמרי מהבטי האבטחה שיש להפצה הזאת, אותם אפשר לקרא בכל מקום אחר. אני בכוונה הסתכלתי על ההפצה הזאת כהפצה יום יומית. אם הייתי צריך לסכם במילה אחת, זאת הייתה: 👏👏👏👏.

תוספת: למי ששואל… זאת הדרך היחידה שמצאתי ללכוד את המסך. וזאת תהיה בעייה למי שעושה שיחות ווידאו שבהם הוא משתף את כל המסך. עוד נקודה לרעת ההפצה הזאת.

Share Button

2 thoughts on “ההפצה הכי מגניבה – qubes os”

  1. ההחלטה לא לאפשר תפיסה של כל המסך היא טהרנות שעומדת בעכריה של המערכת, ובסופו של דבר תמנע אימוץ שלה. הצורה בה משתמשים במערכת צריכה להיות בהחלטת המשתמש.
    אף מערכת וירטואליזציה או שו”ב שעבדתי איתה לא העמידה דרישה שכזו.
    בתקווה שההפצה תעודכן גם ברמת הוויזור, וגם ברמת כללי הבל-יעבור

    1. המטרה בטהרנות הזאת היא אבטחה. דמיין לך רוגלמה שמתאימה חלון במסך מלא, ומדמה באופן מושלם את המסך שלך. ואז אתה מנסה להיכנס לבנק שלך. או לאתר של המפעיל שלך. או שאתה מנסה להדליף את זה שארה”ב מרגלת אחרי כל העולם.

      זאת המערכת הפעלה היחידה למטרות האלו.

להגיב על זאב רוסק לבטל

האימייל לא יוצג באתר. שדות החובה מסומנים *