Lmst

Hello #thinkpad bubble, I need your help: my trustyold #X201 is nearing the end of its lifespan, so I need a (used) replacement. It should work for the next 5 years, so battery must be replaceable (I am able to replace a built-in battery as long as it's not soldered). I will use #Qubes OS, I don't care for a big graphics card, but the more RAM the better. No heavy CPU load, though. X480? X490? T14? I'm a bit lost here.

:tux: New distro release for your annoying paranoid friend.

https://www.qubes-os.org/news/2025/12/21/qubes-os-4-3-0-has-been-released/

#qubes #linux #opensource

Some more good news...

@QubesOS is now graciously funding further development of Wyng, with the expressed goal of eventually integrating fast & secure Wyng backups into Qubes OS. This next stage of Wyng development will focus on a raft of features from the v0.9 roadmap that enhance convenience and user-friendliness, such as resuming interrupted backup sessions and direct cloud storage support.

Many thanks to the Qubes OS team for recognizing the advantages Wyng brings and for their support!

🌟 🌟 🌟 🌟 🌟

About:

Wyng is a backup system optimized for Linux copy-on-write (lvm-thin and Btrfs). Qubes OS is the hypervisor-based, reasonably secure desktop operating system: https://www.qubes-os.org/

#wyng #qubes #qubesos #linux #backup #lvm #btrfs

🌈 After a long beta, I'm happy to announce the release of Wyng version v0.8.0! :sparkles_light: Many new features and usability improvements were added since the prior release, including encryption, Btrfs support and fast differential restore. You can get it from Codeberg at https://codeberg.org/tasket/wyng-backup

What is Wyng? Its a backup system for large objects such as LVM volumes, disk images and database files with a focus on speed and security. It has space-saving snapshot management and uses copy-on-write information to accelerate incremental backups so that even terabyte sized volumes can be updated in just seconds. Unlike btrfs-send, Wyng's archive format requires no special filesystem on the back end, and its attack surface is also low since it handles information only as blocks. Wyng is ideally suited to backing up systems that use LVM or disk images where a frequent backup schedule and low impact on system resources is desired.

#linux #qubes #lvm #brtfs #backup

Well, I am back with more wild ideas.

• Is your server not under config management?
• Is it under config management, but you’re worried things have slipped through the cracks?

What if you could generate #Ansible roles of everything that’s running on it, with one or two commands, in seconds?

Say hello to Enroll.

More to come soon (I want to make it use #JinjaTurtle to create dynamic jinja templates/inventory so roles can be easily shared between hosts…), but early versions are already available, see https://git.mig5.net/mig5/enroll

https://asciinema.org/a/AogYCkvE0w4oTIleNiwKIxl4d
(and yes, that’s a #Qubes VM.. I’ll be ansibilizing my Qubes Templates now!)

A happy bread bun server, the word ‘enroll’ underneath it

SecureDrop Workstation 1.5.1 has been released! This minor fix addresses a Tails config location change found in version 2.13.0 of the SecureDrop server.

https://securedrop.org/news/securedrop-workstation-1_5_1-released/

#securedrop #whistleblowing #opensource #qubes

I promised to write about #Qubes and #GrapheneOS, which I'm now happy to use, here is about what it took me so long to adopt them:
https://yazomietech.bearblog.dev/the-quest-for-reasonably-secure-operating-systems/

i'm eyeing it as a potential tool to improve the system monitoring tooling for qubes os. at the moment we have.... xl top. that's about it

pcp is nice because it's lightweight, is available in standard fedora/debian repos, and supports monitoring hosts over sockets which is perfect for qubes

the problem is reporting. like i said, they pretty much only suggest grafana, and that's far too heavy for running on a qubes workstation

#PCP #QubesOS #qubes #xen

Today I learned about Ghaf, which is apparently an effort into the direction of something like #Qubes OS, except, instead of using Fedora, it uses NixOS so that it can be fully declarative:
https://ghaf.tii.ae/ghaf/overview/

From #Coreboot to #Qubes: #Secure Hardware Deep Dive with #NovaCustom #techlore #linuxnotebooks #linuxlaptops #yt #privacy #security

https://youtu.be/oyQuwUJgPPY

DJ Ware has recently released a video for those who may have heard of #Qubes but never really looked into it as well as those who haven't and may have some interest in something more secure than what other #linux distros offer.

Qubes OS: The Last Bastion of Digital Freedom

https://youtu.be/mtJ7hq_JTQ8

#QubesOS #Hypervisor #XenHypervisor #Compartmentalization #Virtualization #Fedora #Debian #Whonix #Qube

Was ist #Qubes?
Infos rund um das sichere #Linux - Betriebssystem (security, privacy) und zusätzlich nützliche Software für zB Journalisten wie zB SecureDrop.
https://youtu.be/mtJ7hq_JTQ8?si=n9cn0R0vvFm8Jb8l

if you like #qubes but don't have the computing power to run that many VMs, I highly recommend running plain #whonix on any linux distro with full disk encryption, whonix now has more features since I last used it including a non-persistent live mode which mirrors qubes' disposable VMs, the downside ofc is that you won't be making your host OS as virtually unhackable as you do with Qubes

Question for you security boffins

Is there an existing #XFCE desktop setup which supports a #Qubes OS like experience? I like the Qubes privacy desktop, but...it is totally wired to Fedora and systemd.

I like to run things very lean like an embedded system such #FreeBSD or #Arch without pulling in all the massive systemd and #FreeDesktop dependencies.

@udob

#Qubes #QubesOS

Diesen Vorschlag hat er mir such gemacht.
Es klingt vom Prinzip her etwas wie GrapheneOS fürs Google Pixel.
(Habe mich da seit dem Jahreswechsel reingekämpft.)

Ist das für Linux-Neulinge und Nicht-ITler machbar?

@marquito @pmj

Just came across this https://github.com/BawdyAnarchist/quBSD A #FreeBSD jails and bhyve wrapper, which implements a #Qubes inspired containerization schema

I don't remember who I talked to about something like this, but it's been way before COVID iirc.

#qubes os если воспринимать не как операционку, а как свой маленький датацентр, то с ним можно подружиться. Иначе пользоваться им не выйдет. Буквально - надо стать админом своего серверного парка: сетью управлять, с фаерволом незнакомым разбираться, с шаблонами осей, нюансами самого Qubes OS. При этом всё равно не реализовать свою криптошизу на 100% https://doc.qubes-os.org/en/latest/user/security-in-qubes/data-leaks.html (спойлер Air Gap нада).

Если нужна надёжная изоляция без этих сложностей с приемлемыми криптошизе рисками, посоветую suse/fedora + SElinux или хотя бы Opensnich. Но это всё равно сложно не то что обычному юзеру, но и гику. Я так SElinux и не смог осилить, нейронка тоже не помогает - путается. Обычным юзерам рекомендую таки отдаться Apple экосистеме и не вылазить из неё, если не хочется приключений или повышенных рисков.

Ну а фанатам Graphen-а на телефоне и Proxmox-а дома, таким же упоротым как и я криптошизам - пару советов по qubes os.

Базовый сценарий: мы не особо доверяем софту и хотим, чтобы ему можно было ходить только по одному ip или локальной сети и никуда больше.

1. Копируем шаблон debian-12-xfce, называем debian-12-xfce-custom. Ставим этот сомнительный софт. В моём случае bitwarden. Не потому что, я не доверяю разрабам, а просто потому что не хочу, чтобы парольный менеджер коннектился хоть куда-нибуь, кроме моге сервера.

2. После установки приложеньки в кастомный шаблон, отключаем шаблон от сети вообще. В Qubes есть встроенный apt-proxy, который доступен без подключения к сети. Да и шаблону сеть не нужна, только пакеты обновлять.

3. Создаём AppVM, это специальный тип виртуалки, который монтирует шаблон в read-only. Поэтому, чтобы ты не ставил в AppVM после ребута всё исчезнет, кроме /home. Поэтому аппку ставим в шаблон, а используем в AppVM.

4. В настройках через, Qube Manager -> Settings -> Firewall rules включаем Limit outgoing connection to ... и через плюсик добавляем всего один адрес и порт куда разрешено виртуалке ходить.

5. Пингуем google.com из виртуалки. Охуеваем, что есть ответ. Мы ведь только что заблокировали весь трафик кроме одного адреса.

6. Идём в консоль dom0 (гипервизора), смотрим чего за правила у AppMV-ки нашей: qvm-firewall bitwarden list. Видим лишнее, удаляем лишнее: qvm-firewall bitwarden --rule-no 1

7. Но доступ к DNS-резолверу всё равно остаётся. Что при очень маловероятном сценарии, может привести-таки к утечке паролей. Криптошиза эти риски не устаивают. Поэтому прописываем единственный разрешённый ip с доменом в /etc/hosts в коносли VM-ки битвардена. И дропаем правило разрешающее DNS как в п.4.

8. Расстраиваемся, вспоминая, что /etc, как и вся система кроме хомдиры, примонтирована в read-only, и любые правки /etc после ребута теряются. Далее либо создаём отдельный шаблон с установленным битварденом и пофикшеным hosts. Либо смиримся, что ну никто не спиздит у нас пароли через DNS-резолвинг и возвращяем правило фаервола: qvm-firewall bitwarden add action=accept specialtarget=dns.

Аналогично, можно браузер для локальной сети сделать, или вот только для Феди, но с ютуба ничего грузиться не будет. Но мне кажется, что это излишняя параноя - на каждый чих VM-ку создавать. Достаточно разделить софт на группы риска и удобно назначить VM-ке цвет от зелёного до красного. Как и предлагает Qubes OS.

Если интересно, могу, если лень не одолеет, рассказать, как с сетью можно играть. Типа туннель сделать VPN -> TOR -> VPN, чтобы последний VPN не видел вашего реального IP, а посещаемый сайт и провайдер не знали, чтобы вы из TOR. Академического интереса для!

А как вы проводите воскресенье?