Лучшая операционная система для анонимности и безопасности Qubes OS (практика)

В данном топике практическая часть настройки Qubes OS + Whoinix, с теорией вы можете ознакомиться Ссылка доступна только зарегистрированным пользователям

1. Подготовка


Нам понадобится более менее современный ноутбукнастольный компьютер с 64-битным процессором и минимум 4 гигами оперативы (я настоятельно рекомендую сразу поставить 8 гигов или больше) и 32 ГБ места на жетском диске ( чем больше тем луше!).

Лучше всего для работы системы подойдет ssd диск , на обычном HDD будет не так прикольно. Если ставите на карту памяти micro sd, то возможны лаги и подвисания, но в целом терпимо.

Помимо всего вышеперечисленного для установки нам понадобится абсолютно любая овер 5 гигов флешка для записи установочного образа.

2. Установка

Скачиваем iso образ последнего диструбитива Qubes OS 3.1.
Ссылка доступна только зарегистрированным пользователям

Cкачиваем програму Rufus для записи образа на флешку овер 5 гигов.
Ссылка доступна только зарегистрированным пользователям

Запускаем Rufus, выбираем наш образ и запиливаем его на флешку.

Вставляем нашу микросд карту в ноут, перегружаем компьютер, в биосе выбираем загрузку с юсб, загружаемся с установочной флешки и видим красивый и удобный интерфейс. Выбираем нужную нам таймзону, добавляем RU раскладку клавы, выбираем нашу microsd карту, удаляем там все разделы и освобождаем свободное место. Разметку диска я выбрал стандартную, но по идее любая другая сойдет.

Важно! Шифровать или не шифровать?


Вы сразу увидите при установке опцию с полнодисковым шифрованием и выбором пароля. Если ставите на жесткий диск, то думать особо не нужно, шифруйте, шура. Но если шифруете именно Микросд карту, то есть риск повредить ваши данные из-за резкого выключения компьютера при глухом зависании (линукс файловые системы очень к этому чувствительны). Как вариант можете пилить шифрованные контейнеры для ваших нужд, а саму карту не шифровать, это увеличит скорость загрузки и избавит от необходимости каждый раз вводить пароль.
Если все-таки решили шифровать, то не выбирайте наглухо упоротые пароли на овердо*уя символов с разными регистрами. Выберите лучше какую-нибудь запоминающуся строчкуцитату и добавьте к ней _+-*?:%; Вот вам сервис от касперского, который примерное время брутфорса выдает на ваш пароль Ссылка доступна только зарегистрированным пользователям
Например, пароль otdelksosethui будет подбираться 52 века, а otdelksosethui_ 515 веков.
Ну это, конечно, если чистым перебором всех вариантов, если есть словарь, то там проще, но ИМХО все эти заморочки с паролями сильно преувеличены, злоумышленнику куда проще кейлогер вам заслатьиспользовать уязвимости самого шифрования, чем даже начинать что-то брутить.

Жмем инсталл и идем гулять 1.5-2 часа.

Как только установите, грузимся с нашей карты и видим черный экран или красивое поле для ввода (иногда по-разному.)

В любом случае здесь нужно набрать на клаве наш пароль и нажать Enter.

Если диск не шифровали, то вообще ничего делать не надо, оно и само загрузится.


Грузит обычно долго, так что не пугайтесь, это один из небольших минусов данной оси.

При первой загрузке откроется стартинг менеджер, ничего не меняем, ставим галочку только на Обновлять AppVm только через TOR (экспериментал).

3. Настройка Qubes-Vm-manager

Значит у нас есть основная система Lunux-Qubes (dom0), на которой запущена программа Qubes VM Manager. На ней мы и будем работать с нашими виртуалками. Выглядит это примерно так (правыое верхнее окно).



DOM0 - это наша основная система, которая не имеет доступа к сети интернет в принципе и получает оный только в редких случаях обновления из официальных репозиториев Qubes (все остальные репозитории запрещены). Обновление запукается либо в cамом VM manager либо командой sudo qubes-dom0 update в терминале (запустить можно щелкнув правой кнопкой по рабочему столу и выбрав Konsole).

Управление в самом VM manager довольно простое и интуитивно понятное. Для запуска жмем кнопку старт, для остановки кнопку стоп и т.д, также есть опция автозапуска при старте системы в настройках каждого отдельного куба.

Всегда запускайте ваши кубы последовательно, один за другим, если будете запускать одновременно несколько, то система может присвоить двум разным виртуалкам одинаковые мак-адреса и выдаст ошибку.


Важно: при первой установке у вас будут немного другие названия,чем указаны ниже, например, sys firewall это proxy vm, а sys-whoinix это whoinix gateway. Вы можете менять имена как вам вздумается.

SYS-NET - это куб запущенный по шаблону операционки fedora-23, к которому по-умолчанию подключены наши сетевые драйвера (встроенный адаптер вай фай и сетевая карта для подключения по кабелю). Проверить это можно выбрав настройки данного куба и зайдя во вкладку devices, там в правой колонке будет 2 устройства такого вида ethernet controller:....

Важно: если нам надо подключить внешний usb wi-fi адаптер, то необходимо добавить нужный нам юсб контроллер. С этим могут возникнуть трудности, у меня, например, все usb 2.0 порты наглухо отказывались работать с кубом sys-net, но проблему успешно решило указание usb 3.0 порта.

Заходим в раздел devices нашего куба, убираем с правой колонки все ethernet controller.. (если они нам не нужны) и добавляем порт юсб 3.0 в который воткнут наш wifi-адаптер.

Также учитывайте, что если вы грузите систему именно через usb, то данный порт не удастся перенаправить на виртуалку по понятным причинам.

Когда куб sys-net запустится, мы увидим в правом нижнем углу иконку с сетью, где можно выбрать нужную нам wifi сеть и ввести к ней пароль. Также здесь можно настроить OPENVPN (VPN-connections-Configure VPN), вбив уже готовый файл конфигурации .ovpn или введя все данные вручную и указав путь ко всем необходимым сертификатам и введя логин и пароль (см. инфу на сайте твоего vpn-провайдера). Правда поднимать vpn на этом кубе совсем необязательно, ведь для этого есть специальные proxy-vm.

Для удобства можешь переименовать куб sys-net в INTERNET или WIFI

PROXY-VM - этот куб сделан специально для настройки впнов, проксей, туннелей, дедиков и прочего, с него уже при дефолтной настройке траф идет на наши рабочие кубы app-vm. Обратите внимание, что в настройках данного куба в разделе basic в поле Netvm указан sys-net, это значит что трафик сюда будет идти именно с sys-net, но мы при желании можем указать там любую созданную виртуалку, причем это можно делать и при включенном кубе.

Важно: чтобы у нас появилась на панели иконка с сетью, как в Net-vm, то разделе Servises данного куба нужно добавить nerwork-manager.

Прокси-вм и нет-вм можно создавать сколько угодно много. Например, если у вас есть два wifi-адаптера (встроенный в ноут и внешний юсб), то вы можете создать для каждого из них по своему кубу, подключаться к разным сетям и распределять уже дальше траффик по разным прокси-вм и апп-вм в любом порядке, который взбредет вам в голову.

Для удобства прокси вм можно назвать VPN1,VPN2, SSH, DED и т.д.


WHONIX - GW (whoinix gateway он же шлюз) - это виртуалка на которую по дефолтным настройкам траффик идет с прокси вм. Whoinix входит в последние версии Qubes по дефолту, что есть очень заебись. В данном кубе весь траффик шифруется через сеть ТОР, после чего его можно направлять на любую другую виртуалку.

Важно: все вышеперечисленные кубы это полноценные операционные системы, в которых мы можете запускать браузерфайловый менеджерконсоль и т.д.


TEMPLATE-VM или шаблоны операционок.
Шаблоны - это уникальная фича Xen гипервизора. Суть проста, шаблон (template) - это обычная виртуалка, на которую мы устанавливаем свежие бновления,ставим весь нужный нам софт, делаем необходимые настройки. После чего по этому шаблону можно штамповать бесконечное множество обычных рабочих кубов (апп-вм, прокси-вм и нет-вм) т.е это полностью исключает необходимость по 100 раз делать одно и тоже и позволяет экономить место на диске. Удобно до ахуения.

Еще стоит добавить, что настройки клавиатурной раскладки копируются автоматом из dom0 во все кубы, так что нам не надо постоянно это все вбивать.


Важно: установите обязательно горячие клавиши на смену раскладки клавиатуры.

Пуск-System tools- System settings-input devices-layouts -mainshortcuts


Список установленных по дефолту шаблонов (покрашены в черный цвет):

WHONIX-WS (рабочая станция workstation) - дебиан бейсд дистрибутив заточенный под максимальную безопасность и анонимность. Изначально настроен так, что может принимать только трафик пропущенный через тор в whoinix-gw (сам whoinix-gw принимает любой траффик хоть после 5 впнов в тор пускайте ) т.е. если вы попробуете подключить Whoinix-ws к обычному proxy-ws кубу, то войти в интернет никак не выйдет.
ХУИНИКС это основная наша рабочая лощадка для черных дел, простая и надежная. Для удобства вместо Тор-браузера запускаем здесь iceweasel (клон firefox для debian без лишней еботы) и ставим любой браузерный впн (zenmate,например). У меня бывало скорость доходила до 6 мб (конечно зависит от самой сетки вайфай). Ролики 720p на ютубе идут отлично.

(Zenmate дают на халяву 3 месяца премиума ВПН за репост ВК, загуглите.)

По плагинам в браузере мастхэв это no-script (защита от нехороших скриптов, которые нам могут подсунуть недоброжелатели) и self-destructed cookies (кукисы уничтожаются автоматически, т.е. на наши учетки никто не залогинится по кукам), все остальное добавляется по желанию и степени параноидальности.