Qubes OS 4.0-rc1

Overhead: anno nagyon kellemes meglepetes ert: semmi eszreveheto! Gondoltam mielott nagyon eltolt ez a wow feeling, inditsunk egy youtube videot. Es pont ugyanugy ment, mint kozvetlenul a vason! Kesobb olvastam, hogy sikerult zero-copy modon megoldani a VM-ekbol a jel atadasat a host videokartyajanak. (Intel video van a gepben, az extrabb dolgokkan nem tudom mi a helyzet.)

Notebookon? Persze. Sztem a tobbseg azon hasznalja. En egy regebbi, T410-es thinkpaden, 8 GB RAM-mal. Ez neha szuk, csak 10-15 VM-et tudok igy inditani egyszerre. :) Altalaban nem kell ennyi, de mivel csak par kattintas, konnyen elkapja az embert a gepszij.

A telepito LUKS-ot csinal alapbol, de ettol meg a boot particiod nem vedett, ugyhogy ha suspendben hagytad ott a gepet es kikapcsolva talaltad meg, az gyanus, nagyon gyanus. :) (google: evil maid attack) Veheted elo a rejtek boot mediadat az ellenorzeshez/ujrahuzashoz. Vagy van meg az Anti Evil Maid (google...), ami a gep TPM chipjeben eltarolja a boot resz ellenorzo osszeget es ha nem stimmel, tudod, hogy piszkaltak. (Marmint Bela az IT-rol. A harombetusoket nyilvan nem fogod azzal felfedni...)

> Mennyire hasznos ez, ha például Intel AMT-n [...]

Semennyire. Ha hw meg van bugazva, akkor akkor az egesz meg van. (Egyebkent van olyan thinkpad, amire a gyari BIOS helyett lehet coreboot-ot flesselni, meg az Intel ME-t lehet me-cleaner-rel nyirbalni, pl. a beepitett halozati sztekktol megszabaditani, de ki tudja milyen mely az a rabbit hole...)

> [...] vagy egyéb hardver firmware-en keresztül jönnek be a gépedre?

Viszont a PCI HW-eket PCI pass through-val at lehet adni VM-ekbe, ez utan a proci IOMMU-ja elvileg megvedi a host memoriajat. Tehat pl. egy rouge wifi kartya, vagy USB controller firmware-je nem tud beleolvasni (DMA-zni) csak az adott VM memoriajaba.
Dolgoznak rajta, hogy a videokartya se a privilegizalt dom0-hoz, hanem egy sima VM-hez legyen csatolva, ezek utan lehet probalkozni binaris blob driverekkel az ati-nvidia vonalon. Sot meg olyan orult otlet is elhangzott, hogy ha ez megvalosul, elvileg mukodhet ebben a display VM-ben windows is, az azzal erkezo driverekkel, felhasznaloi felulettel, ha valakinek az a perverzioja, hogy nem XFCE panelt, hanem start menut akar latni a kepernyojen.

Annyit tennék hozzá, hogy mivel template alapúakaVM-ek, és egyszerre többet futtatsz, így két szűk keresztmetszet van:
* IO - tehát diszk terhelés. Emiatt SSD használata erősen javasolt, mert a pörgős diszk pont ilyen terhelésen (random multi read) vérzk el. Az SSD meg pont ebben nagyonjó ;)

* RAM
Nincsolyan, hogy túl sok RAM ;)
mivel a VM-ek ~teljes oprendszerek, így kell nekik RAM. sokan abba a tévhitbe esnek, hogy ugyan annyi RAM-tól, amit eddig eygetlen oprendszer használt el, azt várjűk, hogy akkor majd futtat rajta sok VM-et... Ez nyilván nem így megy.

A 3.2-ben még PV típusú VM-en futnak, ezekben pedig dinamikus RAM kiosztás remekül működik, ami miatt nem kell annyi memória, mint amire elsőre gondolnál. De így is:
- sys-net, sys-firewall minimum 300mb
- proxy VM-ek (pl VPN) minimum 512Mb
- Appp VM-ek, na itt már attól függ miket használsz, de úgy általában nagyon minimum 1GB, de inkább 2 Gb VM-enként.

Ebbőlgyorsan összejön, hogy 4G alatt NEM tudsz használhaót rendszert kialakítani. A gyakorlatban 8G RAM, az amivel már értelmesen lehet dolgozni, de rendszeresen bele fogsz futni abba hogy elfogyott a RAM. a gépemben most 16Gb van, ezzel még nem ütköztem ilyen problémába. (de ez nyilván felhasználás függő)

a 4.0 tól elkezdtek átállni PV-ról HVM-re, ami security szempontból előnyös, azonban a RAM fogyasztáson várhatóan sokat fog tolni, mert ezesetben nincs dinamikus RAM kiosztás.

--
zrubi.hu

Egyátalán minek a net telepítés közben???
A Qubes telepítés közben biztosan nem csinál semmit amihez net kell.

A telepítő egyébként egy sima fedora-ból van, minimális átalakítással.
3.2 esetében F23,
4.0 esetében pedig F25

--
zrubi.hu