「唐澤貴洋Wiki:チラシの裏/Qubes os」の版間の差分
ナビゲーションに移動
検索に移動
細 (→QubesOS特有の動作) |
細編集の要約なし |
||
| (他の1人の利用者による、間の3版が非表示) | |||
| 3行目: | 3行目: | ||
== 概要 == | == 概要 == | ||
[[ファイル:Qubes-trust-level-architecture.png|306px|thumb|right| | [[ファイル:Qubes-trust-level-architecture.png|306px|thumb|right|QubesOSの構造図]] | ||
[[ファイル:Qubes-schema-v2.png|306px|thumb|right|QubesOSの構造図その2]] | |||
このOSは、ドライバの動作やUSB入力などコンピュータのあらゆる機能を複数の独立した仮想マシンに分離することで、高度なセキュリティと匿名性を実現するOSである。</br>[[Whonix]]同様仮想マシンを用いることでXSSなどといった攻撃からホストOSを守る。しかしQubes OSではこれに加えQube(VM)と呼ばれる仮想環境ごとにアプリを分散したりCTAP proxyといった分離技術<!--<ref>乱暴に説明すると</ref>-->の使用によりウィルスによる被害を最小限に抑えられる。</br> | このOSは、ドライバの動作やUSB入力などコンピュータのあらゆる機能を複数の独立した仮想マシンに分離することで、高度なセキュリティと匿名性を実現するOSである。</br>[[Whonix]]同様仮想マシンを用いることでXSSなどといった攻撃からホストOSを守る。しかしQubes OSではこれに加えQube(VM)と呼ばれる仮想環境ごとにアプリを分散したりCTAP proxyといった分離技術<!--<ref>乱暴に説明すると</ref>-->の使用によりウィルスによる被害を最小限に抑えられる。</br> | ||
=== システム要件 === | === システム要件 === | ||
| 20行目: | 20行目: | ||
=== デスクトップ編 === | === デスクトップ編 === | ||
* なるべくUSB機器を使わず、マウスとキーボードはPS/2端子のついたものを選ぶこと。<ref>悪意のあるUSBからの攻撃を防ぐほか、USB接続のキーボード・マウスを使うとsys- | * なるべくUSB機器を使わず、マウスとキーボードはPS/2端子のついたものを選ぶこと。<ref>悪意のあるUSBからの攻撃を防ぐほか、USB接続のキーボード・マウスを使うとsys-usbがドライバのバグやウィルスなど何らかの要因で機能しない場合、操作不能になるため。なおPS/2規格はホットプラグに対応していないので注意。</ref> | ||
== インストール方法 == | == インストール方法 == | ||
# USBやDVDなどにISOファイルを焼く</br>※注意: | # USBやDVDなどにISOファイルを焼く</br>※注意:Rufus使用時にエラーが発生する場合は、任意のLinuxディストリビューションで以下のddコマンドを使用し書き込むこと。</br><code>dd if=qubes-os-X.X.X.iso of=/dev/sdX bs=4M status=progress</code><ref>X.X.X、/dev/sdXはそれぞれQubesOsのバージョン、インストールメディアのパスに置き換える。</ref> | ||
# ターゲットマシンにメディアを挿入し、BIOS/UEFIを起動 | # ターゲットマシンにメディアを挿入し、BIOS/UEFIを起動 | ||
# BIOS設定で各種仮想化機能が有効(Enabled)になっていることを確認 | # BIOS設定で各種仮想化機能が有効(Enabled)になっていることを確認 | ||
| 54行目: | 54行目: | ||
==弱点== | ==弱点== | ||
* LiveBoot機能のある[[Tails]]や[[Kicksecure]]に比べフォレンジック耐性に劣る?{{要検証}}<ref>{{Archive|https://fekir.info/post/immutable-machines-with-virtualbox/|https://archive.vn/wbeyQ|VirtualBoxの仮想HDDの自動ロールバック機能の解説}}</ref><ref>{{Archive|https://www.reddit.com/r/virtualbox/comments/4lb618/immutable_hard_disk_what_have_i_done_wrong/|https://archive.vn/qRJrL|Redditのスレ}}</ref><ref>[https://www.whonix.org/wiki/Qubes/Disposables#Warnings Whonix公式Wiki]</ref> | * LiveBoot機能のある[[Tails]]や[[Kicksecure]]に比べフォレンジック耐性に劣る?{{要検証|date=2025年4月}}<ref>{{Archive|https://fekir.info/post/immutable-machines-with-virtualbox/|https://archive.vn/wbeyQ|VirtualBoxの仮想HDDの自動ロールバック機能の解説}}</ref><ref>{{Archive|https://www.reddit.com/r/virtualbox/comments/4lb618/immutable_hard_disk_what_have_i_done_wrong/|https://archive.vn/qRJrL|Redditのスレ}}</ref><ref>[https://www.whonix.org/wiki/Qubes/Disposables#Warnings Whonix公式Wiki]</ref> | ||
* 使い捨てOSのDisposablesは完全にRAM上で動作するわけではないためローカルフォレンジックを完全に回避するための手段として信頼できない<ref>[https://doc.qubes-os.org/en/r4.3/user/advanced-topics/disposable-customization.html#disposables-and-local-forensics Disposable customization]</ref>。 | |||
==その他== | ==その他== | ||
=== Qubes | === Qubes OS特有の操作 === | ||
*<b>Ctrl+Shift+C/Ctrl+Shift+V</b> | *<b>Ctrl+Shift+C/Ctrl+Shift+V</b> | ||
VM間でコピー&ペーストが行える。</br> | VM間でコピー&ペーストが行える。</br> | ||
使うにはコピー元のVMでctrl + CでコピーしてからCtrl+Shift+ | 使うにはコピー元のVMでctrl + CでコピーしてからCtrl+Shift+Cでグローバルクリップボードにコピーし、コピー先のVMでCtrl+Shift+Vと打ってからCtrl+Vでペーストが行える。</br> | ||
応用すればパスワードを保存するためのVM<ref>公式が用意しているものにはVaultVMがある。</ref>にパスワードを保存し、必要なときにこの操作で取り出す、といった使い方もできる。 | 応用すればパスワードを保存するためのVM<ref>公式が用意しているものにはVaultVMがある。</ref>にパスワードを保存し、必要なときにこの操作で取り出す、といった使い方もできる。 | ||
2026年3月28日 (土) 06:38時点における最新版
 |
Qubes OSとは、Xenと呼ばれるハイパーバイザーを使ったOSである。かのエドワード・スノーデンがTailsから乗り換えたとして有名。
概要
このOSは、ドライバの動作やUSB入力などコンピュータのあらゆる機能を複数の独立した仮想マシンに分離することで、高度なセキュリティと匿名性を実現するOSである。
Whonix同様仮想マシンを用いることでXSSなどといった攻撃からホストOSを守る。しかしQubes OSではこれに加えQube(VM)と呼ばれる仮想環境ごとにアプリを分散したりCTAP proxyといった分離技術の使用によりウィルスによる被害を最小限に抑えられる。
システム要件
CPU:以下のすべてを搭載したCPU[1]
- IOMMU (intel VT-d または AMD IOMMU technology)
- SLAT(Intel VT-x または AMD-V)
- 内蔵GPU
RAM:6〜16GB[2]
ストレージ:128GB以上、HDDは非推奨(動作が非常に重くなるため)
TPM:TPM2.0[3]
PC選び
ノートパソコン編
- 恒式サイトの動作検証まとめを参考にするといい。Linuxとの親和性が高いThinkpad推奨。[独自研究][4]
デスクトップ編
- なるべくUSB機器を使わず、マウスとキーボードはPS/2端子のついたものを選ぶこと。[5]
インストール方法
- USBやDVDなどにISOファイルを焼く
※注意:Rufus使用時にエラーが発生する場合は、任意のLinuxディストリビューションで以下のddコマンドを使用し書き込むこと。dd if=qubes-os-X.X.X.iso of=/dev/sdX bs=4M status=progress[6] - ターゲットマシンにメディアを挿入し、BIOS/UEFIを起動
- BIOS設定で各種仮想化機能が有効(Enabled)になっていることを確認
- ブートメニューでインストールメディアを最優先に設定
- 変更を保存し再起動
- 起動メニューから「Install Qubes OS」を選択
- 言語を選択する。この時「Unsupported Hardware Detected」警告が表示された場合は、手順3の設定を確認しおなす
- ディスクパーティションやユーザー設定などを構成後、インストールを開始
完了後、再起動 - デフォルトの仮想マシン設定を確認(特別な要件がなければ変更不要)
- 設定を終了し、システムを起動
各仮想マシンの機能
仮想マシンのことをここではVM(Virtual Machineの略)と呼ぶ。
- AdminVM(dom0)
全ての基点となるVM。VMの管理を行う。
- AppVM
ソフトを実行するためのVM。ネットの閲覧などはこのVMで行う。一応パッケージのインストールはできるがVMを再起動すると抹消されるため注意。そういった行為はTemplateVMで行うべきである。
- TemplateVM
パッケージの導入や各種設定を行うためのVM。このVMでの変更は対応するApp VMに反映される。パッケージの導入はこのVM単体で行うべきであり、 他のVMと通信しながらしてはいけない。 デフォルトではsys-Whonix経由で通信できない。[7]
- ServiceVM
VM同士やデバイスとの接続を行うVM。初期では
●sys-usb
●sys-whonix
●sys-firewall
●sys-net
の四種類存在する。このsys-whonixをお好みのAppVMに繋ぐことでT or経由でネットに接続できる。ただし、前述の通りデフォルトではTemplateVMに繋ぐことはできない。
弱点
- LiveBoot機能のあるTailsやKicksecureに比べフォレンジック耐性に劣る?テンプレート:要検証[8][9][10]
- 使い捨てOSのDisposablesは完全にRAM上で動作するわけではないためローカルフォレンジックを完全に回避するための手段として信頼できない[11]。
その他
Qubes OS特有の操作
- Ctrl+Shift+C/Ctrl+Shift+V
VM間でコピー&ペーストが行える。
使うにはコピー元のVMでctrl + CでコピーしてからCtrl+Shift+Cでグローバルクリップボードにコピーし、コピー先のVMでCtrl+Shift+Vと打ってからCtrl+Vでペーストが行える。
応用すればパスワードを保存するためのVM[12]にパスワードを保存し、必要なときにこの操作で取り出す、といった使い方もできる。
脚注
- ↑ 手持ちのCPUが対応しているかはIntelユーザー向けサイト、AMDユーザー向けサイトで確認できる。
- ↑ RAMの量とできることは比例しているため、多いほうが良い。
- ↑ BADUSBからの攻撃を防ぐAEMを導入する際必要。なので無くても良いがなるべく用意すること。Intel製CPUの場合第六世代(Skylake)以降CPUに内蔵されている場合がある。
- ↑ データ量が大きいため開く際は要注意。
- ↑ 悪意のあるUSBからの攻撃を防ぐほか、USB接続のキーボード・マウスを使うとsys-usbがドライバのバグやウィルスなど何らかの要因で機能しない場合、操作不能になるため。なおPS/2規格はホットプラグに対応していないので注意。
- ↑ X.X.X、/dev/sdXはそれぞれQubesOsのバージョン、インストールメディアのパスに置き換える。
- ↑ 公式フォーラム
- ↑ VirtualBoxの仮想HDDの自動ロールバック機能の解説(魚拓)
- ↑ Redditのスレ(魚拓)
- ↑ Whonix公式Wiki
- ↑ Disposable customization
- ↑ 公式が用意しているものにはVaultVMがある。
外部リンク
関連項目
| 匿名化技術 | |
|---|---|
| ツール | AnonFiles - Session - SimpleX Chat - Tor - VPN |
| OS | GrapheneOS - Kicksecure - Parrot OS - Tails - Qubes os - Whonix |
| 用語 | IPアドレス - 開示 - 仮想通貨 - ダークウェブ - DMCA - 生IP - 悪芋 |
| webサイト | 炎上総合Wiki - Onionちゃんねる - Kind World - 唐澤貴洋掲示板 - 唐澤貴洋殺す掲示板 - 恒心教サイバー部 - 防弾ホスティング - ヤッバイおっぱい掲示板 |
| 攻撃手法・事件 | engage路線 - 贈り物路線 - お問い合わせ路線 - 片平騒動 - カラッキング(2020年8月・9月の連続カラッキング事件 - アットキャドカラッキング事件 - 国立感染症研究所カラッキング事件 - GMOカラッキング事件 - TVerカラッキング事件 - 新潟県警カラッキング事件) - カランサムウェア - Kindle路線 - 同時爆破予告事件 - 2ちゃんねる個人情報流出事件 - 犯行予告 - 爆破予告 - 兵庫県警ブラクラ摘発事件 - モンストまとめ殺害予告事件 |
| 関連人物 | 安藤良太 - 小津晶 - 面白い愛の戦士 - 片山祐輔 - 恒心教 広報省 - さっしーえっち - 杉浦隆幸 - 0Chiaki - ダブルぬるぽ - ドナルドⅡ世 - ねそにゃ - 福山紘基 - 三上洋 |
| 企業等 | サイバー犯罪対策課 - スプラウト - Novogara - Privex - 八雲セキュリティコンサルティング株式会社 |