• Курсы Академии Кодебай, стартующие в мае - июне, от команды The Codeby

    1. Цифровая криминалистика и реагирование на инциденты
    2. ОС Linux (DFIR) Старт: 16 мая
    3. Анализ фишинговых атак Старт: 16 мая Устройства для тестирования на проникновение Старт: 16 мая

    Скидки до 10%

    Полный список ближайших курсов ...

Qubes OS

Понравилась тема?

  • Да

    Голосов: 39 88,6%
  • Нет

    Голосов: 1 2,3%
  • Слишком все муторно как то...

    Голосов: 4 9,1%

  • Всего проголосовало
    44

ghost

Well-known member
12.05.2016
1 636
3 288
BIT
0
r3rc1-nalu-desktop-4.png.jpeg

Основана на принципе виртуализации. В качестве гипервизора используется Xen.
Применяется LVM и используется шифрование.
Пользовательское данные разных виртуальный машин, буферы обмена, x-server'a и даже оборудование никак не пересекаются. Лишь цвет окон позволяет отделить их визуально.
Правильное распределение мощностей процессора, оперативной памяти и других ресурсов позволяет запускать одновременно гораздо больше машин, чем вы могли бы запустить на обычной операционной системе. Плюс из-за Xen они работают практически на железе, так что скорость
их работы куда выше, чем могла бы быть при использовании к примеру virtualbox.
Существует заготовленные темплейты для определенных виртуальных машин, в которые входит Whonix. Настроить цепочки и анонимность теперь можно куда проще и возможности куда шире.
Каждая виртуальная машина имеет свой x-server, однако несмотря на это создатели Qubes сделали чтобы все удобно отображалось в едином окружении.
Плюс такие фичи, как создание шаблона виртуальной машины занимающего фиксированное кол-во места и возможность шаринга этих файлов, чтобы создать множество виртуальных машин, не занимая много места. Будет использоваться лишь пару гигабайт для хранения уникальных файлов юзера.

В разделе download есть образы лишь для архитектуры x64.
Снимок экрана от 2017-09-24 10-50-33.png


Скачиваем нужный образ и сверяем контрольные суммы:
Снимок экрана от 2017-09-24 11-01-30.png


Все должно совпадать:
Снимок экрана от 2017-09-24 10-58-48.png


Подготовим загрузочную флешку и введем в терминале:
Код:
dd if=/путь/до/образа.iso of=/dev/sdX bs=1M
где вместо /dev/sdX у вас должно быть ваше устройство. Моя флешка отобразилась как sdb.
Снимок экрана от 2017-09-24 10-49-24.png


Перезагружаемся и выбираем в биос загрузку с вашего usb-носителя. Появится графический установщик Qubes Os.
10.png


Несложная установка+поддержка русского языка. Присутствует возможность установки в качестве основной системы и на внешний носитель.
При соглашании со стандартными настройками идет установка по умолчанию на /dev/sda и все затирается (сделайте бэкап!!!).
Выберите надежный пароль и дождитесь окончание установки. Длительность процесса напрямую зависит от размера вашего жесткого диска.
Когда все установится, перезагружаемся, грузимся с того носителя на который вы установили Qubes OS и вводим пароль, который вы указали при установке.
При первой конфигурации будет задан вопрос насчет создания виртуальных машин. Выбираем стандартный вариант.
r32-xfce-desktop.png


Появится интерфейс KDE, и стандартное приложение для настройки Qubes VM Manager, в котором есть удобное визуальное распределение ресурсов и прочие настройки виртуальных машин.
Необходимо немного освоиться в логике работы системы и со средой KDE, чтобы привыкнуть.
Каждая VM имеет свой небольшой запас пространства, которое можно увеличить в менеджере Qubes OS/вкладка basic. Можно назначить некоторые машины на включение при запуске системы.
Создатели рекомендуют характеристики системы:
Код:
64-bit Intel or AMD processor (x86_64/x64/AMD64)
4 GB RAM
32 GB disk space
legacy boot mode (UEFI not supported yet)
Так же они придумали фичу для запросов VM к разным gpg. Подробнее .
Имеется прекрасная , правда на пиндосском.
И как плюшки - поддержка нескольких популярных OS для взлома пентеста+Whonix!
Снимок экрана от 2017-09-24 12-07-09.png


Не об этом ли наша душенька мечтала? Устанавливаем, юзаем, делимся впечатлениями...

2. Настройка и анонимизация Qubes OS

У Qubes OS имеется виртуальная машина personal. Запустив ее, можете обновиться с помощью команды в терминале:
Код:
sudo yum update
Скачаем, к примеру с конфигурацию для openvpn и используем его:
Код:
sudo openvpn --config name.opvn

Запустим к примеру машину work и те же приложения в ней. На можете видеть, что ip преждний, но на personal весь траффик направляется через vpn. Удобно для разделения нескольких личностей.

Скопированное в одной виртуальной машине в другой вставитьслучайно не удастся.
Копируем - Ctrl+C. Нажимаем в той машине, из которой нужно перенести буфер Shift+Ctrl+C
Появится уведомление. Выбираем окно с другой машиной и жмем Shift+Ctrl+V. Опять появится уведомление об удалении данного текста и его затирании, а так же переносе в эту машину. Теперь можно вставить через Ctrl+V

Можно на основной машине net-vm включить vpn, тогда все машины по умолчанию будут направляться через этот же vpn. Но для защищенной работы лучше установить Whonix.

dom0 - не виртуальная машина! Через него можно конфигурировать все, что происходит в системе. Он максимально настроен на безопасность. Там даже не сети, а только специальный защищенный механизм обновлений. Установит шаблон для Whonix Gateway и Whonix Workstation, введя в терминале:
Код:
sudo qubes-dom0-update --enablerepo=qubes-templates-community qubes-template-whonix-gw qubes-template-whonix-ws
После обновления открываем менеджер Qubes OS
dom0 - Qubes VM Manager - VM - Create AppVM
и создаем sys-whonix на базе шаблона whonix-gw
Create_Qubes-Whonix-Gateway_ProxyVM.png

Затем создаем anon-whonix на базе шаблона whonix-ws
Create_Qubes-Whonix-Workstation_AppVM.png

dom0 - Qubes VM Manager - VM - Create AppVM
Qubes-Whonix-Gateway_TemplateVM_Qubes_VM_Manager_Settings.png

Тип выбираем AppVm и пропускаем сеть через sys-whonix (то есть Whonix Gateway).

Теперь можно запускать Whonix Gateway а затем Whonix Workstation и использовать защищенное Tor-соединение. Ну а дальше можно настроить в них все, как в обычных виртуалках Whonix.
В настройках любой другой виртуальной машины можно пропустить сеть через Whonix Gateway.
Дальше переводите, учите матчасть. Вот все есть, а ниже список шаблонов поддерживаемых ОС.

Managing Operating Systems within Qubes
Удачи в начинаниях!
 
Последнее редактирование модератором:

Frost

Active member
13.02.2017
35
71
BIT
0
Отличная инфа, еще бы про дополнительные настройки qubes, как продолжение темы, это я к тому что из коробки не всегда все до конца прикручено
 
  • Нравится
Реакции: Darius и ghost

ghost

Well-known member
12.05.2016
1 636
3 288
BIT
0
А об этом немного позже.
При установке из под Шиндовz не используйте .
Это унылое гуамно. Им можно носитель так убить, что только им и восстановишь.
Советую . Есть версия под разные оси. И nix-дистрибутивы всегда корректно пишет.
 
Последнее редактирование:

Breed

Заблокирован
16.05.2017
194
238
BIT
0
При установке из под Шиндовz не используйте .
Купил себе под текущие нужды вот такие флешки

Это самые лучшие штуки для таскания в кармане на колечке для ключей. Для Live можно взять USB 3.0, а под инсталлы и дистрибутивы и 2.0 попрет ради экономии.
Так вот этим гребаным Rufus-ом я сразу убил одну из них! Флешка определялась, но ни в какую и ничем не форматировалась, даже на низком уровне. Пришлось выкинуть.
Взял USBboot Installer++ 1.9 и забыл про все остальные "приблуды" - вот это комбайн! И для линукса, и для окошек. Возможностей - море. С редактированием под свои нужды и даже тестированием. Всем рекомендую.
Сайт автора
[doublepost=1506254892,1506254787][/doublepost]
Не об этом ли наша душенька мечтала
И как ты угадал? :)
 
  • Нравится
Реакции: Vertigo и ghost

ghost

Well-known member
12.05.2016
1 636
3 288
BIT
0
Купил себе под текущие нужды вот такие флешки
***Скрытый текст***
Это самые лучшие штуки для таскания в кармане на колечке для ключей. Для Live можно взять USB 3.0, а под инсталлы и дистрибутивы и 2.0 попрет ради экономии.
Так вот этим гребаным Rufus-ом я сразу убил одну из них! Флешка определялась, но ни в какую и ничем не форматировалась, даже на низком уровне. Пришлось выкинуть.
Взял USBboot Installer++ 1.9 и забыл про все остальные "приблуды" - вот это комбайн! И для линукса, и для окошек. Возможностей - море. С редактированием под свои нужды и даже тестированием. Всем рекомендую.
***Скрытый текст***
[doublepost=1506254892,1506254787][/doublepost]
И как ты угадал? :)
Тоже неплохо
[doublepost=1506254976][/doublepost]
Купил себе под текущие нужды вот такие флешки
***Скрытый текст***
Это самые лучшие штуки для таскания в кармане на колечке для ключей. Для Live можно взять USB 3.0, а под инсталлы и дистрибутивы и 2.0 попрет ради экономии.
Так вот этим гребаным Rufus-ом я сразу убил одну из них! Флешка определялась, но ни в какую и ничем не форматировалась, даже на низком уровне. Пришлось выкинуть.
Взял USBboot Installer++ 1.9 и забыл про все остальные "приблуды" - вот это комбайн! И для линукса, и для окошек. Возможностей - море. С редактированием под свои нужды и даже тестированием. Всем рекомендую.
***Скрытый текст***
[doublepost=1506254892,1506254787][/doublepost]
И как ты угадал? :)
Вангую
 
  • Нравится
Реакции: Breed

Breed

Заблокирован
16.05.2017
194
238
BIT
0
Пробовал пробить и нулевой сектор, и первый. Правда, под окнами и под DOS. Не получилось "ручками", задействовал готовое решение - программульку hddlowlevel. С тем же резуультатом. Похоже, что там какой-то триггер "крякнулся" в ППЗУ флешки.
Но твой код под Линь возьму на заметку. СПС.

Да теперь-то что горевать - давно выбросил ее.
 
  • Нравится
Реакции: ghost

First-freeman

Green Team
13.03.2016
15
2
BIT
0
Подскажите пожалуйста автор, если у Вас есть опыт использования, несколько слов для сравнения с esxi. Спасибо!
 

e.exploit

Green Team
11.09.2016
21
9
BIT
14
Купил себе под текущие нужды вот такие флешки
***Скрытый текст***
Это самые лучшие штуки для таскания в кармане на колечке для ключей. Для Live можно взять USB 3.0, а под инсталлы и дистрибутивы и 2.0 попрет ради экономии.
Так вот этим гребаным Rufus-ом я сразу убил одну из них! Флешка определялась, но ни в какую и ничем не форматировалась, даже на низком уровне. Пришлось выкинуть.
Взял USBboot Installer++ 1.9 и забыл про все остальные "приблуды" - вот это комбайн! И для линукса, и для окошек. Возможностей - море. С редактированием под свои нужды и даже тестированием. Всем рекомендую.
***Скрытый текст***
[doublepost=1506254892,1506254787][/doublepost]
И как ты угадал? :)
Зря выкинул флэху. Я одну флешку 2 раза ужелечил после руфуса, и сейчас я она отлично работает. Лечить нужно было с помощью менеджера дисков в линухе.
 
D

DarkTon

Qubes OS отличное решение для скрытого серфинга.
Но для комфортной работы требуется хорошая машина.

Для записи образа на носитель можно использовать
 
  • Нравится
Реакции: ghost
D

dedperded

Подскажите плиз. Поставил Qubes OS. Но после загрузки нет Старт меню в нижней части экрана. И не пойму какой порядок действий для включения интернета.??
 

z3r0c10wn

Grey Team
04.09.2017
229
295
BIT
129
Если честно то система интересна - это точно. Но genode однозначно круче с точки зрения идеи(жаль что недоделка)

В qubes не понравились проблемы с поддержкой старого железа - много проблем с драйверами.
Сообщество отличное, но Рутковская по любому поводу шлет всех на ****, вот прям обижает такое отношение.
Для постоянной работы решение не очень подходит с точки зрения performance.
 
  • Нравится
Реакции: ghost и midnight__spark

rabbit_hole

Green Team
11.12.2018
14
11
BIT
0
бггг. некрофил в теме :)))

а если серьезно, может кому на будущее пригодиться :
  • кейс раз - подключаемся к сети

    • [*}не очень правильно или не правильно совсем
      втыкаешь карту в юсб. она упадет в sys-usb(в 3.2 кубах еще выбирать нужно было при установке, в 4 принудительно, кажется, сразу создается). далее открываем свойства тачки sys-usb. переходим на вкладку services добавляем network-manager. смотрим в трей(емнип сис-юсб перезагружать не нужно, сервис сразу создается) там должна появится пиктограмма нетворк-манагера. далее настраиваем как обычно через гуй.
    • правильно
      создаешь виртуалку - netVM. обзываешь ее sys-wnet или как душе угодно. повторяешь все действия из предыдущего пункт. отдельно можно прокинуть юсб хаб в устойствах(devices, ес-но сначала нужно из sys-usb его убрать) если планируешь постоянно в один порт втыкать вафлю, это зависит от разводки на твоей мамке. если этот шаг опускаешь, то нужно ручками прокидывать карточку в нужную тачку. это называется usb-passthrough. для этого есть утилита qvm-usb
      в нулевом домене, в терминале (на примере юарта покажу, нет под рукой больше ничего :) )
      Код:
      #листинг доступных устройств
      $ qvm-usb -l
      sys-usb:2-2        067b:2303  Prolific_Technologi_Inc.Usb-Serial_Controller
      
      #аттач к такчке 
      #-a <vm-name> <vm-device-name>:<device>
      $ qvm-usb -a temp sys-usb:2-2
      в темпе
      Код:
       lsusb
      ...
      Bus 002 Device 002: ID 067b:2303 Prolific Technology, Inc. PL2303 Serial Port
      ...
      откючаем, когда попользовались :)
      Код:
      $ qvm-usb sys-usb:2-2
      подбробнее можно почитать здесь
      пока листал доку, наткнулся на то, что в целевой виртуалке должен быть установлен пакет
      Код:
      qubes-usb-proxy
  • кейс два - подрубаем ее к кали, например
    здесь так-то все тоже самое, что и в предыдущем пункте, за исключением очень обильного вроятного сношения(по крайней мере я получил вдоволь, точно уж не помню почему) в случае если виртуалка HVM и использует кастомное(читай родное для нее :) ) ядро. его нужно патчить. так что если в твоем случае возможно - постарайся избежать этого и используй appVM с ядром кубов.
примерно как-то так. если есть вопросы - постараюсь ответить на них.
 
  • Нравится
Реакции: yrsq и NoName Lemon

R0ckNR0lla

Member
10.04.2017
7
0
BIT
0
кто работал с данным дистрибутивом, подскажите как создать свою виртуалку для раздачи сети впн? хочу установить kodachi os как основной шлюз для интернета, что бы к нему подключались остальные виртуалки.
 
Последнее редактирование:
Мы в соцсетях:

Обучение наступательной кибербезопасности в игровой форме. Начать игру!