Korben, roi d’internet, logo bébé avec des lunettes en mode thug life

Test [Qubes OS]


#1

J’ai finallement trouve le temps de tester qubes os sur l’ordinateur suivant :

Portable toshiba, cpu i7-3630QM 4 coeurs (8 threads) 2.40 ghz a 3.40 ghz max, Technologie Intel Turbo Boost, Technologie de virtualisation Intel (VT-x, pas de VT-d et c’est bien dommage, ca aurait ameliore la securite), Intel 64, AVX, carte graphique amd integre, ssd de 256 go, disque dur remplacant le lecteur dvd d’env 1to, 16 go de memoire…

la configuration est assez puissante pour n’importe quelles taches, j’ai donc lance l’installation de qubes os, partitionne les disques en mettant le systeme initial sur le ssd, le swap disque et home sur le disque dur classic (le tout est encrypte)… apres quelques temps, le systeme est pret a etre demarre… pour ceux que ca interesse, voici mes conclusions :

  • le demarrage de qube os est assez rapide probablement grace au ssd…
  • l’interface est bien concu, la version 3.2 utilise desormais xfce au lieu de kde pour cause d’instabilitee de ce dernier apparement…
  • il y’a differents domaines de securite avec cloisonnement des programmes
  • possibilite d’interdire l’acces au net a certains programmes (une bonne chose)…
  • sandboxer isoler etudier un programme sans danger pour le systeme…
  • il y’a meme des vms jetables utilisable temporaireent sans laisser de trace (par exemple pour lire un document ou lancer un programme suspect…)…

j’ai teste le systeme pendant quelques heures, c’est bien concu, mais pas vraiment adapte a un utilisateur intensif qui sera finallement agace par ce type de fonctionnement… la 3d manque enormement, la carte graphique n’est pas exploite a son maximum et le systeme n’est pas vraiment aussi reactif qu’il le devrait, l’occupation memoire devient trop importante si on lance plusieurs vms en meme temps… je penses que qubes os sera utile a des professions a risque dans le domaine journalistique scientifiquesqubes os a le merite de simplifier enormement les choses une fois installe, la securite est a priori excellente pour ceux qui gerent des donnees hautement confidentielles… mais bon, pour un utilisateur avance, il est possible d’arriver au meme resultas au prix de nombreux efforts (temps) de configurations d’un systeme linux…

je vais tester un peu plus le systeme pour voir si je peux ameliorer la reactivite, mais je ne penses pas vraiment garder qubes os comme systeme principal, je serais beaucoup trop limite dans mes actions, mais je vais continuer a surveiller le projet au cas il deviendrait plus interessant…

finallement, je crois que mon idee de depart d’installer la derniere fedora est la bonne avec gestion de vms securises et isole du systeme


#2

Bonjour,

Merci pour ce feedback intéressant.

As-tu optimisé le swap ? (ex: déclenchement swap à partir d’un % d’utilisation RAM atteint)

Avis perso: je n’ai pas encore testé cette distribution. D’après ce que j’ai pu lire sur cette distribution, les ressources sont rapidement impactées par le nombre de “vms/applis” installées (normal), elles-mêmes dépendantes d’une mutualisation intermédiaire contraignant l’utilisateur à utiliser un “template” partagé par toutes les vms (toutes les vms ont accès au “template”). L’aspect “sécurité” semblerait donc être assujetti à une “manipulation” relativement contraignante pour l’utilisateur, puisque ce dernier devra créer un “template” pour chaque application (ou listes applis) qu’il souhaitera “protéger/isoler” (partie que je trouve intéressante à tester ! si j’ai le temps… :grin:)

La “garantie” de l’anonymat proposée par “Qubes OS” à l’air très intéressante dans la mesure où le système de cloisonnement est orchestré autour de “conteneurs relativement sécurisés” tournant chacun dans sa propre vm (principe de la virtualisation). A titre d’exemple (à vérifier), javascript tournera dans un conteneur cloisonné à l’intérieur même du navigateur internet lui-même tournant dans une vm dédiée. Il est vrai que le principe fonctionnel (usager) est séduisant notamment lorsqu’il s’agit de “tuer” un “conteneur” ou une vm infectée (attaquée)…

En résumé (avis personnel), “Qubes OS” me semble être une distrib conçue pour faciliter l’usage de plusieurs vms (intégration, transparence) dans un environnement découpé tournant sous Xen. La sécurisation matérielle et logiciels est assurée grâce à un procédé “d’isolation virtualisée” (vms/applis). “Qubes OS” me paraît très gourmand en ressource (CPU/RAM… à vérifier) et ne sert donc qu’à gérer de “bêtes vms” afin d’améliorer la sécurité relative de l’usager. “Qubes OS” serait donc plus adapté à un environnement physique dédié: " 1 machine / 1 utilisateur".

PS: Il va bien falloir que je la teste maintenant que j’ai pondu ma tartine ! :wink:


#3

Bonjour Diki,

je supposes que tu parle de Swappiness, non en verite, vu la memoire disponible, je n’ai pas juge necessaire d’utiliser cette fonction mais je vais voir si ca peut ameliorer les choses…

oui, je confirmes que les ressources sont tres vite impacte par le nombre des vms…

je confirmes egallement que c’est tres contraignant pour ne pas dire chiant de configurer les programmes selon le domaine utilise…

pour l’anonymat, il est possible d’utiliser tor (a voir ici), ca m’a l’air plutot efficace…

l’infection d’une vm n’aura aucun impact sur le systeme, par exemple il est possible d’utiliser firefox dans une vm jetable pour visiter des sites suspects et ensuite quitter le programme sans risque, la vm etant detruite automatiquement…

l’isolation est efficace mais c’est lourd tres lourd en fin de compte et ca impacte directement l’ordinateur meme si tres recent et performant …

je confirmes que le systeme est concu pour une utilisation personnelle…

je serais interesse par tes conclusions en cas de test vu la machine que tu as, mais je te conseille quand meme de dedier un disque dur vide a qubes os sous peine d’endommager les autres systemes, peut etre meme vaudrait il mieux debrancher les autres disque dur avant de s’y risquer…


#4

Bon, rectification, il apparait que la valeur de swappiness est fixe par defaut a 60 dans qubes os, donc des que 40% de la memoire est occupe le systeme utilise le swap sur disque dur, ce qui a mon sens est vraiment stupide comme reglage surtout pour un systeme base sur des vms, heureusement il est possible d’y remedier :

pour connaitre la valeur actuel de swappiness, lancez dans un terminal dom0 la commande :

sudo cat /proc/sys/vm/swappiness

utilisez l’editeur de texte nano pour modifier le fichier :

/etc/sysctl.d/swaplow.conf

et mettre par exemple la valeur 0 (le systeme sera force d’utiliser entierement la memoire avant d’envisager le swap)

vm.swappiness=0

apres redemarrage, la valeur de swappiness est desormais fixe a 0

le systeme est devenu plus reactif, je vais essayer de voir si je peux l’optimiser un peu plus…


#5

@Quezako
Bonjour,

J’attendais ton retour à ce sujet avant de répondre car je savais que cela rendrait plus réactif le système :wink:

Dès que j’aurais quelques minutes de libre, je complèterai ton commentaire par une ou deux astuces que j’avais pu mettre en œuvre justement avec “swappniness:grin:

A+!
Diki


#6

@Quezako
De mémoire le fichier de config (swappiness) sur lequel j’avais effectué mes tests était sous /etc/sysctl.conf

Je te donne quelques infos brutes de pomme pour optimiser “l’usine à gaz” mais j’y reviendrai plus tard quand tu auras fait tes recherches, ajustements et tests d’ici là :wink:


Désactivation de la journalisation des dates de lecture de fichiers fonction du partitionnement, vérifier pour un partitionnement optimisé (/, swap, /boot, /dev/pts, /dev/shm, /sys, /proc), voir pour “ext 4” ou “lvm” :


activation du TRIM (SSD)
dans le cas d’un partitionnement LVM, il y a possibilité d’optimiser… vérifier car par défaut Qubes (Fedora) prend ext4?


optimisation: “disk scheduler” du noyau (SSD)

A+!
Diki


#7

Bonjour Diki,

pour qubes os swappiness se configure dans le fichier situe dans /etc/sysctl.d/swaplow.conf

pour le ssd, je chercherais plus tard l’activation des options d’optimisations (journalisation, trim…). cela dit je n’ai pas utilise lvm lors du partionnement…

pour le moment, je cherche a savoir comment activer dans le dom0 le clavier et la souris externes qui sont relie a mon ordinateur portable, il semblerait que qubes os bloque par defaut l’usb par securite. ca se defend sur un ordinateur nomade, il est en effet assez facile si l’usb est active de compromettre le systeme, mais bon ca ne m’arrange pas…

c’est clairement une usine a gaz, il est possible bloquer tout debloquer (webcam, son, acces reseau…) dans chaque vm

j’allais virer qubes os mais je vais lui donner un chance et essayer de remedier a ses defauts

Question : est ce que tu l’a installe ?


#8

Non, désolé, je n’ai pas eu le temps mais c’est prévu :wink:

Au fait as-tu jeté un coup d’oeil sur la doc pdf à partir de la diapo n°33 ici: https://www.qubes-os.org/attachment/wiki/slides/LinuxCon_2014_Qubes_Tutorial.pdf

Si tu ne trouves pas de solution j’ai une idée qui me vient à l’esprit relativement “bête” ("la loi du moindre effort") à tester, elle consiste à installer via une vm sous Qubes l’iso “Plop Boot Manager” écrit par Elmar Hanlhofer pour ensuite activer au démarrage de Qubes le port USB (vm) où est branché ta souris usb et/ou clavier USB. Je sais c’est une solution “bidouille” que j’utilise quelques fois pour démarrer notamment des clés Live USB sous VMWARE.

PS: il se peut que j’ai mal saisi ta problématique ? :grin:


#9

Il me semble qu’il y a un espace avant et après le signe ’ = ’ ?

Possibilité d’optimiser le système durant la suppression des informations ‘inode’ du cache qui s’effectuent trop rapidement. Par défaut la valeur est à 100, à tester avec une valeur moyenne de 50 toujours dans le même fichier de config “swappiness” pour améliorer les performances: vm.vfs_cache_pressure = 50


#10

Rebonjour,

merci pour le lien, c’est ce je disais, une vrai usine a gaz qubes os

je connais Plop Boot Manager, solution inadaptee ici mais merci quand meme

concernant vm.swappiness=0 ca marche comme ca… bon je n’ai pas touche au parametre vm.vfs_cache_pressure puisque je suis assez satisfait de la reactivite du systeme actuellement…

bon, je suis en train de voir pour faire reconnaitre le clavier et souris usb au boot de qubes os, sans cela ca va pas etre possible, je ne me vois pas vraiment a chaque boot devoir utiliser le clavier de l’ordinateur (pour info l’ord portable devra etre place derriere un grand ecran) pour saisir le mot de passe

bon, si quelqu’un passe par la et a resolu le probleme, merci de le signaler


#11

Bonjour,

Bon, j’avais tout faux… apres avoir lu quelques doc sur qubes os, j’avais suppose que le clavier et la souris usb ne serait pas reconnu au boot (comme quoi, il y’a plein de connerie sur le net)… en fait non, si l’usb est bien active comme il faut dans le bios, ca marche… apres avoir connecte une souris et un clavier usb, j’ai eu la surprise de voir que je pouvais non seulement gerer le menu de grub mais en plus taper le mot de passe sur le clavier externe

ce probleme regle, qubes os commence a m’interesser de plus en plus, la reactivite apres changement de swappiness est bonne, il y’a encore quelques imperfections comme un mauvais raffraichissement de la fenetre principal des vms, les polices d’ecran a changer et l’activation de l’antialliasing, c’est imperatif, j’ai choisi la police cantarell

apres quelques lecture sur le net, qubes os gere tres bien les cartes graphiques integres intel moins bien nvidia et encore moins amd, la config ideal pour ce systeme me semble etre celle ci :

  • un core i7 recent avec carte graphique intel integre
  • memoire de 32 go (je sais, c’est beaucoup mais necessaire si on lance de nombreuses vms)
  • un ssd d’env 512 go (indispensable a mon avis)

je vais continuer a tester qubes os pendant quelques temps pour voir si je vais le garder ou pas…


#12

Merci pour ton test, ça me pousse encore plus à l’installer dans les prochaines semaines. Je vais prendre un SSD et de quoi monter à 16Go RAM histoire d’avoir un système réactif et de pouvoir garder mon windows/linux sur mon DD à part.

Je note donc le swappiness à régler après l’installation !

Mon PC tourne avec un i5-5200U (2.2/2.7 GHz - 2 coeurs / 4 threads) je suis un peu sceptique niveau puissance donc je ferai un retour ici concernant la réactivité quand je le testerai :slight_smile:


#13

Bonjour,

Je suis en train de réfléchir sur les préparatifs des prochains tests que je souhaite réaliser avec cette distribution Qubes plus particulièrement sur le volet des “DomU” (para-virtualiseur/hyperviseur). J’ai l’intention de tester la mise en œuvre d’OS guest et vérifier les performances globales par rapport à un serveur de virtualisation CentOS7 tournant sous KVM. Pour ce faire il me faut déjà planifier le montage d’une machine dédiée (host) car je n’ai pas envie de toucher à mon serveur de virtualisation existant (CentOS7/KVM). Mon projet (test) est ambitieux car je projette de monter une machine avec 2 x 128 Go de mémoire vive (DDR4 ECC) sur un carte mère de type “ASUS Z10PE-D8 WS” équipée de 2 CPU Intel 2011-v3.

Tester Qubes sur une machine standard me semble limiter dès le départ le niveau de performance globale, ca


#14

Bonjour,

Secator, je viens de regarder sur le net, a priori le core i5-5200U comporte pratiquement toutes les technologies hardwares pour la virtualisation, donc ca devrait aller, je conseillerais cela dit 32 go de memoire (si c’est possible) et si tu as l’intention de virtualiser des systemes complet genre windows ou des distribs entieres linux unix a l’interieur de qubes os… la puissance devrait etre suffisante (dommage qu’il n’y a que 2 coeurs dans le processeur)…

Diki, voila une config impressionnante… avec ca je supposes qu’il te sera possible d’exploiter qubes os a son maximum… j’attends les retours

qubes os commence a avoir beaucoup de succes sur le net, certains l’utilisent simultanement pour des transaction bancaires ainsi que pour le surf en toute securite sur le net, le developpement et le test de logiciels, l’isolation et malgre tout utilisation de programmes intrusifs genre skype


#15

Disons que si l’on souhaite virtualiser d’autres OS par dessus Qubes, il faudra forcément de la ressource CPU dédiée ainsi que de la disponibilité de mémoire vive. Il y a deux ans environ j’ai participé à la mise en place d’un serveur de virtualisation “CentOS 7 / KVM” sur un socle matériel DELL sur lequel nous avons déployé un centralisateur de logs via un serveur Graylog couplé à la “pile ELK”.

Le serveur de virtualisation était entièrement dédié à la centralisation de logs d’une division infra réseau et systèmes. Nous avons commencer dans un premier temps par intégrer 1 Firewall Juniper, 1 serveur RADUIS, 1 package Graylog “Active Directory” pour la supervision des utilisateurs via des dashboards… Le contrôleur Wi-Fi, l’onduleur, le VPN, 1 Switch CISCO et 1 serveur Nagios ont été mis de côté durant cette première phase de tests. Nous avons pu constater une chute brutale des performances globales que nous avons compensé par une ressource supp CPU.

Le ratio des ressources “CPU/RAM” est crucial si l’on souhaite virtualiser des OS ou serveurs applicatifs dans ce genre de distribution.


#16

ca depend de l’utilisation, a mon avis un core i7, un ssd d’env 512 go pour stocker toutes les vms, eventuellement un disque dur classique pour le home et le swap ainsi que 32 g de memoire devrait couvrir tous les besoins d’un utilisateur avance…

par curiosite, et vu la config que tu comptes monter :

  • 256 go de memoire (ecc c’est du matos pour serveur ca…), c’est beaucoup, par contre deux processeurs ca pourrait etre utile quoique je ne suis pas sur que qubes os puisse les gerer…

a quel usage compte tu utiliser qube os !


#17

Salut,

Oui côté virtualisation ça le fait, côté RAM j’ai que 2 emplacements et c’est de la DDR3 donc 16 Go maxi. Comme tu dis, j’aurais bien aimé avoir 4 vrais cœurs (donc 8 cœurs logiques) pour faire tourner un certain nombre de VM simultanément. Cependant je viens d’aller faire un tour sur le site et le PC “certifié QubesOS” qu’ils proposent (Purism Librem 13 https://www.qubes-os.org/doc/certified-laptops/ ) a le même CPU/quantité de RAM donc à priori c’est OK :slight_smile:

Je vais en effet faire tourner Debian 8 | Windows 7 par dessus.

:fearful: … Je serais curieux de comparer nos résultats de performance histoire de rigoler un bon coup ^^


#18

Tout dépend de l’utilisation finale que tu souhaites mettre en œuvre par la suite. A priori, dans ton “projet” (à discuter…), si tu as l’intention de virtualiser plusieurs vms (serveurs applicatifs, OS complet…) dans le cadre de tests (pilotage projets / production à blanc), alors installer Qubes sur un PC portable équipé d’un i7 avec 32 Go de mémoire le tout vivant sur une carte mère (vérifier sa performance?) risque de poser quelques contraintes de taille au niveau des partages de ressources sur un seul CPU et la mémoire vive. Tout dépend donc de ce que l’on compte faire par la suite…

La configuration matérielle que j’ai évoqué en amont est beaucoup plus adaptée pour l’installation d’un “Xen Server” (Client/Server) sur lequel je pourrais pourquoi pas installer 2 vms dédiées au “Client/Server” ou alors me servir d’un PC portable à la place d’un des 2 vms… La détection des 2 CPUs se fera normalement automatiquement (SMP) ce qui est logique évidemment (vérifier les caractéristiques des CPUs et mémoires). A noter que je n’ai jamais travailler sur un environnement Xen Server mais les principes restent les même que sous “CentOS/KVM” :wink:

Ensuite, l’idée ici est d’installer “Qubes” directement dans une nouvelle vm (que j’utiliserai quotidiennement), à partir de là il sera facile de superviser et ajuster (performer) le mappage des ressources CPUs/Mémoire dédiées à Qubes pour notamment plus de stabilité et de performance globale fonction des projets initiés, sans altérer ou perturber celle de “Xen Server”. C’est le même principe sous KVM, jusqu’ici je n’ai pas inventé la roue :grin:

L’usage escompté est simple, je souhaite tester des projets de pilotage chez moi à partir d’une plateforme de virtualisation optimisée et adapté à mes besoins perso (jeux vidéos notamment) et prof.

PS: 256 Go de mémoire peut semble beaucoup mais dans ce genre d’environnement “Xen Server” (serveur de virtualisation), c’est très utile !


#19

Si j’ai bien compris, tu as l’intention d’utiliser le matos pour faire tourner QubesOS dans une VM ?
Si c’est le cas, ça risque de ne pas fonctionner étant donné que QubesOS est protégé contre l’attaque “Blue Pill” (installation d’un OS plus bas que l’OS ciblé pour en avoir le contrôle sans être détecté par un anti-virus), inventée par la créatrice de Qubes. Il est donc normalement impossible de le faire tourner dans une machine virtuelle :confused:


#20

Bonjour,

Diki, je le fais deja avec windows 7, j’ai une vm winxp active en permanence, et j’utilise parfois temporairement une vm win7 ou linux pour divers taches et cela sur un ordinateur portable moins puissant que celui reserve a qubes os et avec seulement 8 go (dont un ramdisk de 3 go, ce qui laisse 5 go)… le tout fonctionne assez bien… bon je ne suis pas vraiment joueur et mes besoins restent raisonnable…

suite a mes test, meme avec 16 go, il s’avere finallement que qubes os est tres gerable…

je confirmes ce qu’a dit secator, la version 3.2 de qubes os ne permet pas l’install dans une vm alors que la version precedente le permettait, je l’avais installe dans vmplayer precedement…