kramselund jereminsen

Tilbage til Librem 15 og Qubes OS i praksis

En travl sommer er ved at blive erstattet med et travlt efterår, med mange opgaver på bordet. Det er dog tid til at lave et blogindlæg, lidt i den tekniske retning, selvom det er lidt mere review af teknologier end rå teknik.
Det officielle lydspor til dette indlæg er Admiral P - "Gjør Så Godt Du Kan" (official video) HD en dejlig sang der handler om at holde sig til sin plan og gøre sit bedste. Aldrig give op.

Min plan var at erstatte en arbejdslaptop med to laptops, hvor en var privat som jeg bestemte +100% over. Tidligere har jeg været selvstændig og direktør, med hånd og halsret over egen laptop, men nu har jeg jo haft et fuldtidsarbejde i 2 års tid. Der er det Andreas er min chef der bestemmer over data, indstillinger, teknologier osv. Så i værste fald kan han kræve at jeg åbner laptoppens fulddisk-kryptering, for ham - eller politiet, hvis jeg nu søger på internet og finder brugernavne som andre kan bruge til indbrudsforsøg. (Se CSC hackersagen hvor JT fik 6 mdr fængsel for at give brugernavne fundet på internet videre)

Det skal nemlig handle om min private laptop, min Librem 15v2 - for dem som ikke kender den kan starte med artiklen Næsten fri laptop? Librem 15v2 first impressions.

Jeg kan med det samme sige, jeg har ikke brugt den nok, min arbejdslaptop som er en 2014 Macbook Retina er stadig default laptoppen jeg tager frem, når jeg liiiige skal et eller andet. Men der er ved at ske en ændring! Jeg har snart fået det som jeg gerne vil have det.

Det første store som er sket for nyligt er at jeg har lavet en fuld backup af alle Qubes OS VMs, og geninstalleret, og restoret - ca. 100Gb alt ialt med små 10 qubes. Det betyder at jeg kan bruge laptoppen, lave backup, og genetablere systemet hvis katastrofen indtræder. Pro tip: brug en ekstern disk med Linux ext4 som backup disk, jeg prøvede med FAT og det er ikke så smart med store filer :-D

En anden, selvindlysende ting, er at man skal have lidt erfaring med Qubes OS - før man kan skifte over. Det er selvindlysende for det er et avanceret system og det er ikke altid indlysende hvordan man opnår et eller andet. Det kan også ske at man ved det kan lade sig gøre, men grundet hverdagen må udskyde opsætningen til en anden dag. Det kan være opsætning af VPN forbindelser, hvor man lige skal finde ud af hvordan man får OpenVPN installeret ...

Her vil de dygtige læsere på version2 nok sige jeg overdriver, for det er jo nemt at installere OpenVPN, og ja det er det da. Først skal man vide at Qubes bruger to virtuelle systemer til at levere netværk. Dom0 hosten har slet ikke netværk. Så det er en utroværdig sys-net der har en masse netværksdrivere i samspil med en sys-firewall at man er på net med sin Qube/VM. Processen bliver derfor lidt mere omstændelig, ca. sådan:

  • Opret en Qube til "Arbejde" (virtuel maskine, men de kan dele Template VMs og fylder derfor kun hver deres private data)
  • Find dine SSH nøgler og få dem kopieret over i denne VM, det kræver også lidt frem og tilbage med USB sticks i Qubes
  • Find dine OpenVPN configs, vi har nogle gode configs der har keys og indstillinger samlet i .ovpn filer
  • Opdag at Template ikke har OpenVPN, lav shutdown på din VM
  • Start Template og installer de manglende programmer, OpenVPN osv.
  • Start Arbejde VM igen, og find ud af SSH keys ikke virker til login, tænk, kaffe, aaah min bruger på VMs er "user" ikke "hlk", tilføj til .ssh/config
  • Fedt nu virker SSH og OpenVPN

Pro-tip: internt mellem Qubes er det helt ekstremt nemt at sende filer frem og tilbage, så hvis du skal have diverse SSH keys, OpenVPN, SSH configs, og andre filer rundt, så bare drop dem i en VM som er den mest sikre og derfra kopier/flyt dem ud til de andre.

Ovenstående er et godt billede på tingene med Qubes OS, det hele kræver lidt opsætning. Til gengæld er det super nice, stabilt og velsmurt når det er konfigureret. Gevinsten ved ovenstående er også at kun den ENE VM har adgang til mine RFC1918 netværk for enden af VPN! Det er i sig selv en klar fordel, fremfor Mac laptoppen hvor alting og alle apps har adgang til VPN. Det er også nice at man nu kan køre en browser som tilgår HP ILO, diverse interne sites osv. som er helt adskilt fra den usikre browser der bruges i "untrusted" VM. Det gør ting nemmere at min browser i den arbejdsvm kan gemme koder, uden at jeg skal tænke på de 1000vis af fejl som vil blive fundet i browsere henover de næste år.

Den slags opsætning har jeg efterhånden fået på plads, og konfigureret tilpas mange adgange private og arbejdsmæssigt at jeg nu har en mere fair konkurrence mellem Macbooken og Librem. Det gør også at jeg kan svare på om jeg er tilfreds med Librem hardwaren. Det er jeg. Tastaturet virker skønt, skærmen er fin, indpakningen er solid og behagelig. Det er en laptop som jeg fint vil kunne se mig bruge gennem mange år. Den har samtidig også en CPU i7-5557U som iflg den side Qubes linker til har de rigtige bits til at kunne understøtte Qubes OS 4, ret heldigt når det nu præcis er det som jeg havde indkøbt den til. Det værste ved Librem er dens touchpad, som er lidt funky, men ikke mere funky end at den virker - og driveren skulle være opdateret så den kan optræde som en pad og ikke bare en simuleret mus. Det bekymrer mig mindre, for jeg hader også touchpad på Mac og bruger næsten altid ekstern mus.

Librem hardwaren er dog ikke mere revolutionerende end at de fleste læsere herinde vil kunne købe en anden laptop og få samme glæde. Librems fordele med CPU der er fused på en anden måde, og BIOS der blev lovet som Coreboot men leveret som AMI BIOS er ikke nok i sig selv teknisk til at købe netop den, men gør det gerne hvis du vil støtte mere åben hardware. Den kan fås med 32Gb mem, men min har kun 16Gb.

Qubes har desværre også nogle blockere, og det har taget mig lidt tid at erkende det. Jeg ville godt bruge Qubes alene, men må erkende at visse opgaver duer det ikke til. Specielt hacking bliver det ikke optimalt til. Selvom man kan lave en Xen HVM, hardware VM, med Kali Linux er det ikke det samme som at man nemt kan smide denne på et netværk direkte, Ethernet eller Wireless. Det kan være det bliver nemmere med Qubes 3.2 som er lige om hjørnet med USB PV, men pt. har jeg altså en Kali installeret på den anden del af harddisken, det ved man sgu hvad er!

Problemet er jo at Qubes isolerer, i udstrakt grad, som den skal. Desværre kræver mine opgaver at jeg bruger USB enheder som IKKE kun er storage devices. Det kan være serial USB enheder til konsolporte på netværksenheder og USB wirelesskort til hacking, aircrack-ng pakken med airodump osv. Den slags er Qubes ikke pt. ideelt til. Jeg har også behov for at kunne komme på SAMME netværk lag 2 indimellem, til debugging og andre ting. Det er ting som jeg ikke kan udskyde, men med en Kali Linux på ~160Gb af disken så kan jeg disse ting.

Så nu er det fuld gas med den nye laptop, og jeg glæder mig til en dag at kunne lade Macbooken blive på kontoret nogle dage når jeg går hjem.

TL;DR Librem hardwaren lever op til forventningerne, Qubes virker super indenfor det scope det er designet til, men det tager tid at skifte til ny laptop.

Så jeg er recovering Mac addict, men bliver formentlig ikke clean med det samme.

Hvor lang tid tager det jer at skifte hardware, OS, Linux distribution, Windows version?

Den nye Mac OS X Sierra der netop er kommet vil formentlig også give lidt skvulp for de modige der straks opdaterer, Andreas siger eksempelvis at PGP ikke virker :-D
... og jeg kan også huske Mr T som havde sin nye laptop med på thecamp.dk og andre steder MANGE gange før han skiftede, og A som havde købt ny telefon men var 6 mdr? om at skifte til den.

Kommentarer (11)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
#1 Brian Hansen

Når det endeligt sker, tager det mig ca. det meste af et år før der der er alt det samme skrammel på jeg brugte tidligere :) Der er vel et spørgsmål om definitionen af "klar". En simpel Win10 er jo installeret på under 30min på en hurtig PC. Jeg tager det altid løbende. Tidligere skrev jeg alt ned af installeret software, men idag har jeg backups af alt og hiver bare evt. manglende configs ud som jeg står og mangler dem.

  • 1
  • 0
#3 Henrik Kramselund Jereminsen Blogger

tjoeh, forventer min opgradering til Qubes 3.2 bliver super nem. Backup af alle VMs ud på ekstern disk, kør standard installationen. Det er den anbefalede måde, og er simpel - som, jeg bruger 10min på at starte backup, tager kaffe mens maskinen arbejder, og samme ved indlæsningen.

men ja, opsætningen af Qubes tager måske også længere tid, jo mere komplekst (nørdet) setup man vil have.

  • 0
  • 0
#5 Ole Kaas

En ting jeg ihvertfald har kunne glæde mig over ved Mac er hvor nemt det har været at opgradere og tage backup og restore. Jeg har kørt beta på Yosemite, El Capitan og nu også Sierra uden at det har givet problemer for mig.

Min "early 2011" Macbook Pro var inde til rep. hos Apple (på garanti) sidste år fordi gfx-chippen ikke sad så godt fast på motherboardet længere. Den 1TB ssd jeg tidligere helt smertefrit havde opgraderet dyret med blev monteret sammen med ram i en anden (og ikke så kraftfud) Macbookpro jeg havde lånt. Original ssd og original ram blev monteret inden den blev overdraget til Apple. Herefter bytte tingene tilbage igen efter rep. Ingen problemer.

Min OSX installation startede iøvrigt på en Macbook Air og migreringen herfra til min nuværende Macbook Pro var helt uden problemer.

Som det knap så svagt antydes, er min Mac ved at være noget bedaget. Apple kommer langt om længe med opgraderede modeller af Macbook Pro inden jul - siger rygterne. Jeg har dog overvejet Librem/QubesOS vejen istedet - men så længe der ikke er dk tastatur, så bliver det ikke en librem.

  • 1
  • 0
#9 Henrik Kramselund Jereminsen Blogger

Der er flere alternativer til KDE på Qubes, men jeg har kun brugt defaulten pt.

Læs evt. https://www.qubes-os.org/doc/releases/3.2/release-notes/ - det er stadig release candidate, men specielt: "Default desktop environment switched to Xfce4 KDE 5 support (but it is no longer the default one) Tiling window managers support: awesome, i3"

@michael, @david - ja se at komme igang, om ikke andet for at nørde lidt. Det virker super til mange ting, og man får hurtigt noget op at køre. Det minder mig lidt om de gamle Linux dage, hvor man lavede install-fest og fik hjælp til de små drillerier der er.

Seneste "hack" jeg har lavet er at bruge EFI boot til Qubes, og så bruger jeg gammeldaws Grub til Kali partitionen. Det betyder at jeg kan bruge F10 og få en BIOS boot menu som giver mulighed for at boote begge :-D

  • 1
  • 0
#11 Max Andersen

Hejsa,

Jeg må sige at min Librem13v2 ikke helt lever op til mine forventninger. Nok mere grundet mine egne fejl omkring hvad jeg er villig til at gå på kompromis med og hvad jeg ikke er. Dansk keyboard er et must for mig. og selv med 512GB NVMe Pro, 16GB ram og TPM synes jeg at den er lidt langsom i opstarten.

  • 0
  • 0
Log ind eller Opret konto for at kommentere