Qubes 4.0 release - party!

NB: Titlen på dette indlæg skal opfattes som en opfordring.

Vi er nu i 2018, og det er noget tid siden jeg har blogget her. Det skyldes dels private ting og jobskifte.

Når vi er i 2018 startede det jo voldsomt med Spectre og Meltdown, begge burde du have hørt om hvis du ellers læser Version eller andre IT-medier.

Til gengæld har du måske ikke hørt at Qubes OS version 4.0 er lige på trapperne. Jeg har tidligere skrevet om Qubes OS: A Reasonably secure operating system og det kan hentes på https://www.qubes-os.org/. Hent gerne seneste build af 4.0 - som i skrivende stund er Qubes Release 4.0-rc3 (release candidate) og test den.

Qubes er et forsøg på at opnå mere sikker platform på din computer, ved at isolere og basere sig på en lille kerne af værktøjer. De kalder det for security by compartmentalization. Blandt andet ved brug af Xen hypervisor
https://www.xenproject.org/

Hvis du nu tænker det er overkill, så læs gerne deres seneste
Qubes Security Bulletin #37
https://github.com/QubesOS/qubes-secpack/blob/master/QSBs/qsb-037-2018.txt
Det dokument er i sig selv fantastisk og anbefalelsesværdigt, hvis du er interesseret i Spectre og Meltdown.

TL;DR - Qubes er aldrig 100% sikker, men vil i mange tilfælde i både teori og praksis være en hjælp - og begrænser skaderne. Jeg er godt tilfreds, og har nu brugt Qubes i et par år, med stort held, på min private bærbare. Det er forøvrigt stadig den Librem 15v2 jeg tidligere har skrevet om herinde og tog i brug i Maj 2016. Dog med en større SSD fordi jeg er en hoarder med næsten 40 VMs og templates :-)

Godt, årsagen til dette indlæg er at fejre at dette open source projekt nu er nået til version 4. Næsten, for der arbejdes stadig på den https://www.qubes-os.org/doc/releases/4.0/schedule/

Men der er skrevet release notes - så læs dem gerne her:
https://www.qubes-os.org/doc/releases/4.0/release-notes/

Der er sket en del forbedringer, og kommet ny funktionalitet med, som nyt backup format. Sikkerhedsmæssigt er der forfinet nogle ting, som forventet (HVM som default). Det er altsammen blevet lækkert og jeg har en lille backup-laptop som har kørt relese candidates og diverse opdateringer i en måneds tid.

Den er nu snart fri og jeg vil derfor tilbyde at du kan låne den! Det kræver blot at du skriver dine erfaringer ned i en slags artikel, og rapporterer tilbage til mig hvad der er godt, og dårligt ved Qubes.

Du slipper altså for at finde en laptop som kan køre Qubes OS 4.0 - som har lidt flere krav til CPU og hardware. Du slipper også for installationen, medmindre du lige har lyst.

Så, du kan låne min laptop - jeg tænker i en måneds tid ad gangen, så flere kan gøre det. Når du så bruger den, kan du evt se på følgende som ideer:

  • Ville den virke i min dagligdag, mine normale opgaver
  • Er Qubes nemt at forstå og bruge
  • Hvad fordele giver det mig, Qubes projekt VMs giver lidt andet fokus på opgaver oplever jeg
  • Kører det godt nok, og nej - du kan ikke rigtigt spille GPU spil på Qubes
  • Kan Qubes understøtte speciel hardware, og hvordan, jeg bruger selv USB wifi kort og en Kali, samt Yubikey

Note: Det anbefales IKKE at bruge den til graverarbejde eller den næste Snowden, før du har lært Qubes og teknologierne godt at kende. Du kan dog snildt efter testen hive data ud fra platformen. Enten manuelt som filer og USB diske, eller ved brug af det nye backup format https://www.qubes-os.org/doc/backup-emergency-restore-v4/

Send mig en email på hlk@kramse.org og jeg skal prøve at lave en fair plan. Fair betyder at hvis du er journaliststuderende eller anden ikke IT-professionel kommer du foran i køen. Specs er Asus Zenbook UX32A med 500Gb SSD, 10Gb ram og en Intel i7-3537U CPU 2.0GHz. Den booter relativt hurtigt og opstart af en VM og terminal i samme er ~20sek, men ny terminal i den samme VM er instant.

Mine Qubes 4.0 planer

Mine egne planer er at automatisere min installation mere.

Jeg vil eksempelvis gerne sikre at mine VMs altid er opdateret hjemmefra, mens jeg er på min egen hurtige fiber. Jeg har også nogle få ændringer og tilpasninger som jeg vil sikre altid er i nye VMs. Det er primært problem for mine StandaloneVM vms, idet templates er relativt nemme at opdatere.

Det er eksempelvis terminaler i nye VMs, som SKAL bruge Adobe Source Code Pro fonten, og jeg er svært glad for Wheat foreground #F5DEB3 og DarkSlateGrey #2F4F4F som background, eller noget Solarized.

Jeg skal også lege lidt med multiple disposable VM templates, hvor jeg har haft lidt problemer med hvilken netvm der skulle bruges, og hvad der skulle være med. Det nedarves, men der kan være grunde til at en DispVM åbnet fra min mailreader vm IKKE skal have net overhovedet, eller have andre regler for adgang til net.

Backup er også lidt en øm tå, det virker super, men er lidt langsomt. Det kan være det nye Qubes Admin API kan hjælpe mig med ovenstående, om ikke andet bliver det sjovt at lege med. Det beskrives som "ideal for ongoing system maintenance, monitoring, and on-demand provisioning of VMs."

og så burde jeg altså snart fixe IPv6 rigtigt :-D Jeg har leget med det, og opsat manuelt virker det fint med IPv6 under Qubes. Det er dog ikke hverken integreret eller smart.

Så det bliver spændende at skifte til Qubes 4.0 og jeg glæder mig.

Hvordan skifter/opgraderer man

BTW skiftet til 4.0 bliver en reinstall af OS og indlæsning af backup. Det er samme procedure som normal backup og emergency restore. Det virker og jeg prøvede det da jeg skifte til en større SSD i min laptop.

Det er en simpel metode, og dom0 som er hosten er så lille med så få værktøjer, så det giver også mening. Dine data ligger i dine VMs.

PS Hvis nogen vil mødes en dag til et fysisk release party og snakke kan vi nok finde et sted og et par cola/øl.

Kommentarer (19)
Kristian Sørensen

Jeg har kørt Qubes 3.2 på min primære laptop i lidt over et halvt år nu.

Det startede som et eksperiment jeg troede skulle vare 1-2 uger, men det endte i stedet med at fungere så tilpas godt at det har kørt på min primære laptop indtil nu. Det hjalp at det fungerede bedre og bedre i løbet af perioden, i takt med opdateringer til Qubes. Det har ikke været uden udfordringer, men det har været lærerigt.

Qubes' grundlæggende ide omkring separation af data, af hardware og af funktionalitet er fremragende tænkt og godt udført. Det kommer forhåbentligt til at danne skole for andre OS'er i fremtiden.

Qubes har synliggjort visse utilsigtede begrænsninger i typisk nutidig hardware, hvor der er grænser hvor hvor langt separationsideen kan realiseres. F.eks. laptops hvor der kun er en usb controller, eller endnu værre hvor det indbyggede tastatur sidder på denne: https://www.qubes-os.org/doc/usb/#security-warning-about-usb-input-devices Der håber jeg at Qubes kommer til at skabe en efterspørgsel efter hardware designet til bedre at understøtte separations filosofien.

Generelt er Qubes 3.2 i min erfaring sådan nærved-og-næsten klar til daglig brug, med visse begrænsninger og meget afhængigt af at man vælger sin hardware efter hvad der er godt understøttet. Det er mht. hardwareunderstøttelse lidt som at køre Linux i 1998. Jeg kan ikke anbefale det til nybegyndere.

Kim Schulz

Har ventet på at QubesOS 4 var klar, for har sat mig det mål at skife når den kom ud i final. Jeg er lidt spændt på hvordan det kører på min laptop, som dog er lavet specifikt til at kunne køre linux (tuxedocomputers.com).
Ligeledes ærger det mig lidt at de endnu ikke har fundet nogen Gnome udviklere til at få support for det i dom0. I stedet har man så valget mellem grim(kde) og grimmere (xfcde)...nå men det er jo en mindre bagatel hvis resten kører fornuftigt.

Mads Bendixen

Jeg er selv hoppet ud på dybt vand og har installeret Qubes 3.2 på min laptop. Når man ikke er daglig bruger af Linux, er der en stejl læringskurve. Ydermere skal man tænke sig grundigt om, inden man installerer software. Hvor skal f.eks. Nextcloud klienten installeres, hvordan bruger jeg mit usb-nic og andre, normalt, plug'n'play opgaver. Det er en tidsrøver.

Lige pt. er Qubes også et "personligt" OS. Det er designet til brug af 1 person og er på ingen måder "corporate". Men det er de klar over, de har tydeligvis gjort sig nogle spændende tanker omkring det og fremtidens muligheder.

https://www.qubes-os.org/news/2017/06/27/qubes-admin-api/
https://www.qubes-os.org/news/2017/10/03/core3/
https://www.qubes-os.org/news/2018/01/22/qubes-air/

Morten Sørensen

Nu spørger jeg lige, fordi jeg opfatter folk her på sitet som mere eller mindre eksperter. I må give mig uret, hvis dette ikke er tilfældet.

Men vil man kunne integrere en QubesOS maskine i et AD?
F.eks. på arbejdspladsen, hvor der i øvrigt er en politik om at man ikke må skifte OS på sin PC, selv om springet til Linux er uhyggeligt fristende (men dog kræver lidt testing).

Klavs Klavsen

Men vil man kunne integrere en QubesOS maskine i et AD?


Nu kan man bruge AD til flere ting.

1) Login med brugere styret i AD. Det kan man godt. Kræver man opsætter kerberos og adjoin'er - og her skal man så huske på at browseren oftest også gerne vil have adgang til kerberos - så den kan authentikere dig imod interne sites.. Det er rimelig ligetil i Ubuntu og CentOS.. har ikke prøvet med CubesOS :)

2) AD policy (maskin kontrol) - vil ikke fungere sådan umiddelbart.

Henrik Kramshøj Blogger

Men vil man kunne integrere en QubesOS maskine i et AD?

Det vil nok desværre give en del problemer. Hosten, dom0 i Xen, har ikke netværk - så den del kan ikke kommunikere direkte med et AD. Så ja, AD osv. virker fint på normal Linux, men ikke direkte på Qubes.

og en virtuel Windows vil være bagved to VMs - en sys-net og en sys-firewall, så ethvert problem med connectivity vil din IT-afdeling nok ikke røre ved.

Der er diverse sjove ting på vej, læs denne artikel som snakker om Qubes in the Cloud og Qubes Zones og en masse sjove ting.
https://www.qubes-os.org/news/2018/01/22/qubes-air/

Det lyder så fantasiagtigt at jeg er glad for de ikke postede i nærheden af 1. april :-)

Hvis det kommer til at virke - så ville man kunne lave et design rettet mod en organisation som delte ressourcer osv. Men det skulle så designes fra grunden til at bruge Qubes, så tvivler på det sker pt.

Det du til gengæld kan idag, og som jeg har gjort med stort held er:
Lav en vm til dit arbejde, den kan have Thunderbird, IM program (Hipchat/slack/whatever), Git repos, Dropbox osv. De mest basale ting så du kan klare visse opgaver fra din private Qubes laptop.
(NB: under hensyntagen til IT-sikkerhedspolitik BYOD osv.)

Det virker glimrende og så slipper du for altid at skulle medbringe to laptop.

Henning Johannesen

Jeg er også med på et release party.

Den bærbare jeg bruger til at lege med Qubes 3.2 på er købt til at køre Kali Linux på, så jeg har nogle udfordringer med hardwaren nemlig NVIDIA grafikkortet. Jeg har fået det til at virke og det håber jeg også det kommer til med Qubes 4.0.

FreeNAS serveren giver en mulighed for at bruge AD og LDAP for den sags skyld. Men det har et formål nemlig at man kan styre fil rettighederne på bruger og gruppe niveau så man uden problemer kan tilgå filerne fra Windows maskiner. Man kan så også nægte adgang til filerne.
Jeg er ikke sikker på det vil give mening at andre Windows brugere/maksiner skal have adgang til "min" Qubes maskine.

Group Policy fungerer udelukkende på Windows maskiner.

Man kan installere Windows i en VM? og så melde den ind i AD, men det skal man en fra IT afdelingen med administrative rettigheder til at gøre.
De udfordringer der er med net og firewall på Qubes burde kunne løses.

Er der nogen der har erfaringer med Windows 10 i en Qubes VM?

Og så har jeg et andet konkret spørgsmål, hvor meget fylder Qubes OS og de næsten 40 VMmer?

Henrik Kramshøj Blogger

Er der nogen der har erfaringer med Windows 10 i en Qubes VM?

Og så har jeg et andet konkret spørgsmål, hvor meget fylder Qubes OS og de næsten 40 VMmer?

Der må være nogen der har erfaringer med Win10 på Qubes, kig på mailinglisten.

Min installation fylder dags dato omkring 442Gb på disken. Heraf:
vm-templates 93Gb, hmm 52Gb kali-template, den kan vist slankes :-) (hurtig apt-get clean og nu er den ca. 12Gb)

Appvms 339Gb ialt med:
Win7 38Gb
MediaVM 39Gb - spotify cache
ProjectVM 85Gb - alt muligt inkl mine mange præsentationer
NMS-VM 43Gb - BornHack, LibreNMS mv.
KaliVM - på templaten, 578M
Kali Standalone - 28G
osv.

Morten Sørensen

Tak for begge kommentarer.

Jeg tænker heller ikke at integrere en Linux i arbejdspladsens AD vil være den store hurdle, men dét der stopper mig fra at gøre det er politikken omkring ingen skift af OS. Så jeg må vel skrotte idéen om at have en mere clean arbejds laptop uden en IT afdeling, der tvangs-pusher TeamViewer Host services ud på maskinerne, hvilket skræmmer mig lidt. Jeg har dog sat den pågældende service til kun at starte manuelt, og servicen er også blokeret i firewallen.

Jeg er heller ikke sikker på at politikken om ingen skift af OS kun bunder i, at de ikke gider at supportere andre OS end Windows 10. Der må sgu være et eller andet dokument man kan underskrive med blod, hvor man højt og helligt lover ikke at komme og græde, hvis OS ikke virker korrekt og at det er ens eget ansvar at sætte OS samt Outlook- og Skype-alternativer op korrekt og holde det opdateret.

Eller også må jeg fortsætte med at booke et mødelokale for at græde lidt :D

Max Andersen

Jeg har kørt 3.2 i et års tid på forskellige bærbare og er landet problemfrit på min Lenovo Yoga 2 Pro, som er fantastisk. Har investeret i en Purism Librem13v2, som er til reparation og som er mere sjov end effektiv i forhold til lette laptops. Jeg kører Qubes 4.0RC4 på arbejdet på en Lenovo M910T stationær med 512GB NVMe og 40GB ram og det spiller bare endda med 2 stk. Dell 4k skærme. Det burde alle have :).
Jeg har forsøgt at lave rolling kali, men det fejler, grundet kali defaults og qubes-core-agent begge har xfce sammenfald, så det virker ikke. Jeg ville supergerne forsøge meetups, hvis folk er friske?

Max Andersen

Jeg har lavet AD-integration til vore RedHat-servere, så kan hjælpe hvis det ønskes. RedHat havde en guide der virkede sådan da, så vi har justeret lidt og det ser ud til at spille med kerberos. Har det på RHEL6 og 7

Max Andersen

Du vil nok ikke kompromittere din Dom0 med AD, da den ikke har netværk og du skal bruge proxy og så er det allerede snavset.

Dine templates kan og det virker. JEG har en windows 7 på Q4RC4 og det spiller bare med lidt hacks :)

Max Andersen

Nybegyndere af Computere kan undgå at lære at maskiner er en stor bloatet kop usikker tjære. Principperne med at hver vindue kan høre til et temporært image er da nemt at lære.

Og bevares. Hardware der ikke virker er irriterende for både øvede og nbegndere, men kig på HCL listen og køb noget der virker og lær noget fornuftigt til at starte med. Der er ikke rocket science. Slet ikke hvis der arrangeres meetups, so i SSLUGS' gamle dage.

Max Andersen

XFCE ser da supercool ud på Qubes og slår da Gnome med flere længder på performance, så XFCE all the way. Qubes med XFCE er den flotteste "hypervisor" ever.

Jeg er blevet XFCE superfan grundet qubes og ville gerne Kali's XFCE, kun p.g.a. det. Har kørt med Xubuntu med XFCE lang tid på en forældet macbook, så jeg har kun ros til overs for noget der virker til det det skal.

Log ind eller Opret konto for at kommentere