7 powodów, dla których Qubes jest lepszy od Twojej dystrybucji Linuksa

7 powodów, dla których Qubes jest lepszy od Twojej dystrybucji Linuksa

Qubes OS zapewnia maksymalne bezpieczeństwo dzięki wirtualnym maszynom, które chronią dane, umożliwiają testowanie oprogramowania bez ryzyka oraz zapewniają elastyczność przy zarządzaniu systemem.

Kocham pomysł, że mój komputer jest wolny od oprogramowania szpiegującego, a kto nie? Kto lubi myśl, że ktoś kradnie jego sekrety? Dla mnie korzyści z Qubes są niezbędne i zdecydowanie przeważają nad wyzwaniami.

System plików tylko do odczytu daje mi spokój

Qubes składa się z maszyn wirtualnych, zwanych AppVMs. Chroni podstawowy system plików tych AppVM przed trwałymi zmianami. Resetuje zmiany systemowe po ponownym uruchomieniu AppVM – spokój. Czym jest maszyna wirtualna? To program, który symuluje środowiska sprzętowe; można na niej zainstalować systemy operacyjne.

AppVMs są oparte na szablonach, znanych jako TemplateVMs. TemplateVMs zapewniają podstawowy system plików, a AppVMs dostarczają pliki użytkownika. Razem tworzą kompletny system.

Chyba że bacznie obserwuję mój system, nie mogę naprawdę wiedzieć, co może czaić się w głębi po długotrwałym użytkowaniu. Rootkity to zaawansowane oprogramowanie, które dobrze ukrywa złośliwe oprogramowanie. Wymaga specjalistycznych umiejętności, by usunąć takie złośliwe oprogramowanie, więc większość ludzi woli ponownie zainstalować swój system.

Aby uzyskać czysty system, uruchamiam ponownie moją AppVM. Jeśli złośliwe oprogramowanie utrzymuje się w plikach użytkownika, to odtwarzam AppVM. Obie metody zajmują sekundy. Muszę tylko raz zainstalować i skonfigurować TemplateVM.

Inne artykuły, które mogą Cię zainteresować
Te dystrybucje Linuksa są najlepsze dla początkujących, aby zacząć
Linux na telefonach otrzymuje dużą aktualizację z postmarketOS 25.06
Konfigurowanie sieci domowej za pomocą Linux Mint

Dokładne testowanie oprogramowania bez pełnego zaangażowania

Często testuję oprogramowanie na moim systemie, zmieniając pliki konfiguracyjne i uruchamiając oraz zatrzymując usługi. To podejście tworzy bałagan i zmienia sposób, w jaki mój system funkcjonuje podczas użytkowania. Załóżmy, że testuję nową usługę DNS, ale muszę sprawdzić stronę internetową; na standardowym Linuxie moje zapytania DNS mogą zostać bez odpowiedzi.

Na Qubes wykorzystuję jednorazową maszynę wirtualną (DispVM), specjalną AppVM, która resetuje wszystkie zmiany po ponownym uruchomieniu, w tym pliki użytkownika. Uruchamiam DispVM, instaluję oprogramowanie, konfiguruję je i używam. Potem zdaję sobie sprawę, że nie jest świetne i po prostu zamykam aktywne okno. Qubes następnie zamyka DispVM i resetuje wszystkie zmiany za mnie. Mogę zasadniczo modyfikować każdy plik systemowy, wiedząc, że nie zepsuje to mojego systemu ani nie wpłynie na moją pracę.

VPN o wodoodpornym systemie ochrony mojej prywatności

VPN-y są obecnie dość popularne, a większość ludzi używa ich z tego samego powodu: prywatności. Jednak jeśli mój VPN przestaje działać, mój ruch wycieka do otwartego internetu, co nie jest dobre dla prywatności.

Sieć w Qubes składa się z łańcucha maszyn wirtualnych (VM). Ruch płynie z AppVM, przez FirewallVM, a następnie do NetVM. Jeśli dodam VM z VPN, umieszczę ją między dwoma FirewallVM. Jeden firewall chroni mój system; drugi zapewnia, że ruch idzie tylko do wybranego serwera VPN.

Na normalnej dystrybucji Linuxa mógłbym osiągnąć podobny rezultat za pomocą reguł zapory. Ale w Qubes mogę uruchomić wiele VM z VPN jednocześnie, a nawet dać niektórym AppVM bezpośredni dostęp do internetu.

Nie tylko zyskuję elastyczność w łączeniu się z wieloma usługami VPN, ale także zyskuję solidne piaskownice ochrony zapewnione przez Qubes. Dzięki zaporom moje połączenia działają dokładnie tak, jak oczekuję, co daje mi pewność, że mój ruch nie wycieka.

Jednorazowe VM chronią moje sekrety

Hasła to sekrety, a w cyfrowym świecie każdy ma hasła, czasami zbyt wiele. Na standardowym Linuxie ufam, że mój system jest czysty; w Qubes wiem, że mój system jest czysty.

Jedną z najbardziej kuszących cech Qubes jest DispVM. Jest idealny dla maszyn wirtualnych o wysokim ryzyku i wrażliwych.

  • Maszyny wirtualne o wysokim ryzyku: VM wystawione na zaufane środowiska, jak NetVM lub VM z VPN.
  • Wrażliwe VM: VM zarządzające sekretami, jak VM bankowy lub e-mailowy.

Kiedy uruchamiam te VM, wiem, że zaczynają z czystym stanem; gdy je zamykam, odrzucają wszystko (w tym moje sesje logowania). Jeśli połączysz DispVM-y z fizycznym kluczem bezpieczeństwa, twoje sekrety staną się sokiem, którego wartość nie jest warta wyrzeczeń.

Elastyczność w uruchamianiu wielu dystrybucji

Na standardowym Linuxie mogę uruchamiać różne dystrybucje w maszynach wirtualnych, ale nadal muszę poruszać się w niezgrabnym wbudowanym środowisku biurkowym. Z drugiej strony Qubes opakowuje aplikacje w taki sposób, aby przypominały normalne aplikacje biurkowe. Mogę swobodnie poruszać się między aplikacjami, w wielu dystrybucjach, jakby to było jedno gładkie biurko. To cecha unikalna dla Qubes.

Dla każdej dystrybucji, której używasz, stosuj rozsądne praktyki, aby zabezpieczyć swój system i dane – nawet na Qubes.

Ochrona przed przypadkowymi ludźmi

Publiczne Wi-Fi

Kiedy korzystasz z publicznego Wi-Fi, narażasz się na nieznane ryzyka. Możliwe są ataki na sterowniki lub oprogramowanie układowe karty Wi-Fi. Skompromitowane urządzenie ma nieograniczony dostęp do pamięci.

Urządzenia wewnętrzne, takie jak karta Wi-Fi, są urządzeniami PCI. Qubes owija urządzenia PCI w dedykowaną maszynę wirtualną (VM), wykorzystując technologię o nazwie IOMMU. Jeśli zostanie skompromitowane, owinięte urządzenie może zaatakować tylko przypisaną maszynę wirtualną.

Qubes domyślnie owija moją publicznie eksponowaną kartę Wi-Fi z NetVM. Ponieważ to DispVM, Qubes odrzuca wszelkie złośliwe zmiany po ponownym uruchomieniu. Co więcej, moja NetVM widzi tylko ruch VPN, a FirewallVM zapobiega dalszym próbom penetracji mojego systemu.

Opisane ustawienia nie są łatwe do osiągnięcia na standardowym Linuksie i wymagają znacznej wiedzy technicznej.

Izolowanie Niezaufanych USB Chroni Mój System

Podłączanie urządzenia USB do komputera jest ryzykowne. Złośliwe USB ma wiele sposobów na skompromitowanie mojego systemu. Na przykład, mogą emulować urządzenie klawiatury i wprowadzać spreparowane naciśnięcia; mogą wykorzystać błędy w sterownikach i zaatakować sam system operacyjny.

Podobnie jak w przypadku NetVM, najlepiej przypisać USB do dedykowanej (i pustej) maszyny wirtualnej. Aby to zrobić, przypisuję do niej odpowiednie urządzenia PCI. Teraz, kiedy podłączam urządzenie USB, mam pewność, że atak jest całkowicie bezużyteczny. Szybkie ponowne uruchomienie i znika.

Qubes jest dla mnie niezastąpione, a po krótkim czasie na standardowym Linuksie, jestem paranoikiem co do tego, co mogłem złapać po drodze. Na Windows miałem mylne poczucie bezpieczeństwa, że antywirus mnie chroni, ale na Linuksie to nie jest rzeczywiście znacząca opcja. W przeciwieństwie do tego, podejście Qubes przypomina punkty zapisu w grze wideo; za każdym razem zaczynam od zaufanego stanu.

Qubes jest stabilne i gotowe do użytku, ale wymaga co najmniej 16 GB RAM i innych kluczowych technologii (VT-x, VT-d i SLAT). Jeśli jesteś zainteresowany, powinieneś zacząć od Listy Zgodności Sprzętu, zadawać pytania na forum Qubes i zapoznać się z Przewodnikiem Instalacji Qubes. Jednak bądź świadomy, że Qubes jest trudne.

Jeśli ciekawią Cię artykuły podobne do 7 powodów, dla których Qubes jest lepszy od Twojej dystrybucji Linuksa, zajrzyj do kategorii Linux i odkryj jeszcze więcej interesujących treści.

Indeks
  1. System plików tylko do odczytu daje mi spokój
  2. Dokładne testowanie oprogramowania bez pełnego zaangażowania
  3. VPN o wodoodpornym systemie ochrony mojej prywatności
  4. Jednorazowe VM chronią moje sekrety
  5. Elastyczność w uruchamianiu wielu dystrybucji
  6. Ochrona przed przypadkowymi ludźmi
  7. Publiczne Wi-Fi
  8. Izolowanie Niezaufanych USB Chroni Mój System

Możesz być zainteresowany

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *

Go up