Qubes OS 3.2 – Hands on – Teil 2

Nachdem ich eine Weile mit den Nvidia Treibern herumgespielt hatte, zeigte sich leider, dass Qubes in der aktuell als ’stable‘ gekennzeichneten Version doch etwas angestaubt ist – genauer gesagt ist Fedora 23 schon seit einem Jahr EOL. Also war mal ein großes Update an der Reihe und das Wunder nahm seinen Lauf: nouveau Treiber und meine Nvidia wurden Freunde. Also weg mit den Binaries von Nvidia selbst und wir starten einen Rundgang im System, bei dem wir uns natürlich an den alten VM Templates stören und ein Update derer anstoßen, während der X-Server durch Herumspielen an dessen Einstellungen wegen meinem 2. Bildschirm eine Bauchlandung hinlegt.

Mit anderen Worten sitze ich gerade hier auf meinem Tablet, wo ich die aktuelle Template auf einen USB Stick ziehe und diesen Bericht zusammenklopfe und mir versuche, einen Reim auf Qubes OS zu machen. Klar, das Konzept mit der VM Trennung ist schon ganz nett, so lange man Xen vertrauen kann. Zudem kommt noch die Aufgabentrennung zwischen den einzelnen VMs und deren Isolierung, welche uns im Alltag wohl oft genug ärgern wird. Aber es gibt ja einige ‚magische Helferlein‘ wie zB ein Copy & Paste zwischen den einzelnen Maschinen.

Auf der anderen Seite ist es doch ein heftiger Overhead, der einem da auf der Leistungsbremse steht: Man benötigt mindestens drei VMs für ein simples Thema wie das Betrachten einer Webseite: Eine Netzwerk VM, eine Firewall und eine VM die dann den eigentlichen Browser. Genau da liegt auch das Audio-Problem, das einem durch die vielen Schichten auch noch ziemliche Latenzen bietet, sofern man nicht eine externe Soundkarte durchreicht.

Am Ende ist Qubes OS ein klarer Fall zum Umdenken, da man eigentlich keinen einzelnen Rechner fährt sondern wirklich ein Netzwerk. Mit anderen Worten ist es ein ziemlicher Sicherheitsgewinn, aber ein erheblicher Wartungsaufwand da man sich nicht nur um eine Maschine sondern um den ganzen Stack kümmern muss. Trotz der Kapselung möchte man ja nicht dem Angreifer Tür und Tor offen lassen indem man veraltete Software nutzt.

Author:

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Notify me of followup comments via e-mail. You can also subscribe without commenting.