Подводные камни в прихотливости к железу и том что тебе придется довериться разработчикам.
Самый параноидальный вариант был и остается air gap.

>>182226

>прихотливости к железу

А можно поконкретнее?

>тебе придется довериться разработчикам.

Есть основания им не доверять?

>Самый параноидальный вариант был и остается air gap.

Слышу впервые в жизни.

>>182225
Поставь на виртуалку, да потыкай палочкой.

>>182229
Ставить на виртуалку систему, основанную на виртуалках? Мсье знает толк в извращениях.

>>182230
Nested virtualization как бы не вчера появилась.

>>182227
Два года назад обсудили.

>>182232
Я два года назад тут не сидел. Есть ссылка на архив какой-нибудь?

>>182233

> Я два года назад тут не сидел.

Это местный мем такой.

> Есть ссылка на архив какой-нибудь?

Справа вверху.

>>182234
И как я найду нужную тему, если там дохуя файлов и нет подписей?

>>182235
Вот и выросло поколение, неумеющее пользоваться поиском.

Кстати, я как-то уже пробовал установить Qubes и получил чёрный экран. Вроде как это не баг, а особенность установщика и работать надо через клавиши. Я прав или такого быть не должно?

>>182227

>Слышу впервые в жизни

про воздушный разрыв и физическое разделение сетей ты впервые слышишь?
а нахуя тебе qubes-то ваще? "мам сматри я поставил кали"?

>>182238
Я параноик несколько другого типа. Я боюсь не ментовской бутылки, а взлома. Мне нужна не максимальная анонимность (мама, я кулхацкер анонимус!1!1!111!), а безопасность и отсутствие анального копирабства на софте. В этом плане ничего лучше Qubes нету.

>>182236
>>182236
может и выросло
ты про 'site:nowere.net qubes qubesos' ?

>>182240
Вообще, я действительно нюфаня. Зато хоть не виндузятник.

>>182240

> ты про 'site:nowere.net qubes qubesos' ?

Именно.

>>182245
Может расскажите, как этим пользоваться?

>>182248
http://letmegooglethat.com/?q=site%3Anowere.net+qubes

>>182249
Прошёл две капчи, а в итоге всё равно получил ссылки только на старые рандом-треды. Я что-то делаю не так?

>>182250

> Это местный мем такой.

>>182239

>Мне нужна не максимальная анонимность, а безопасность

не, ну так-то дело хорошее. в любом случае, начинать лучше с железа
а для экспериментов и развития скиллов тебе и дата-диода хватит. и похуй что за ним, хоть qubes/tails, хоть (да простит меня пресвятой Омниссия) богомерзкие форточки

>ты про 'site:nowere.net qubes qubesos' ?

много двачей назад я как-то курил с братом шурина племянницы линуксоида, и он проболтался что в таких случаях юзают grep

>>182254
А имя файла нужно вставлять до или после грепа?

Тред в целом считаю не особо удачным. Хочешь приватную систему - ставь GNU/Linux или другую unix-based систему, хоть фряхой обмазывайся. Каким говном ты его будешь обставлять - твоё дело и твои проблемы.
Всё же иногда всплывают новости, что npm или других обнаружили 4 пакета-майнера-винлокера-бекдора.
По-моему, лучше делать упор на выбор браузера.

Виртуальная машина под каждое приложение требует слишком много ресурсов.

Если хочешь изолировать отдельные приложения, лучше просто сделать им отдельных пользователей и настроить права в системе.

Если не доверяешь установщику приложения (актуально для проприетарщины) или боишься, что приложение будет собирать некритичные данные вроде списка пользователей в системе, то дополнительно можно установить приложение в контейнер. Я для контейнеров использую https://podman.io/. Podman это клон Docker, но не требующий прав root. С помощью Podman обычные пользователи могут создавать контейнеры и их не нужно добавлять в привелигерованную группу.

Графические приложения можно запускать во вложенном X-сервере, чтобы они не имели доступа к буферу обмена, содержимому экрана и других окон. Рекомендую nxagent, даже в seamless-режиме всё отлично работает.

>>182261

> Виртуальная машина под каждое приложение требует слишком много ресурсов.

Не такой уж там и большой оверхед.

> Рекомендую nxagent

Есть же xpra, он в отличии от nx пробрасывает только отдельные окна и позволяет работать с ними как с локальными окнами.

>>182263

> > Рекомендую nxagent

> Есть же xpra, он в отличии от nx пробрасывает только отдельные окна и позволяет работать с ними как с локальными окнами.

nxagent тоже умеет seamless-режим. Вот тут жалуются что xpra медленный, и это правда, а у меня он окна ещё с артефактами отображал: https://unix.stackexchange.com/questions/421184/restrict-clipboard-for-untrusted-x11-clients

Через x11docker его действительно очень удобно запускать, я создал .desktop-файлы для запуска нужных приложений с флагами --podman, --nxagent и --home, и разницы никакой не заметно, кроме того, что буфер обмена не работает для приложений, которым я это не разрешил, и файлы доступны только из ~/.local/share/x11docker/$CONTAINER/, где $CONTAINER - название приложения.

>>182263

> > Виртуальная машина под каждое приложение требует слишком много ресурсов.

> Не такой уж там и большой оверхед.

Смотря что запускать, возможно образ и можно уменьшить, но в любом случае придется запускать отдельный init, dbus, ядро и т.д.

Самая большая проблема это распределение памяти, в Qubes для этого написан свой менеджер, который перераспределяет память между виртуальными машинами: https://www.qubes-os.org/doc/qmemman/
То же самое с местом на диске, образы придется иногда расширять. Перемещение файлов между виртуальными машинами по сути сводится к копированию и удалению.

Если нужна просто безопасность, а не среда для malware research, и приложения не пытаются специально сломать ядро операционки, то по-моему виртуальные машины это overkill.

В качестве легковесной альтернативы, есть https://subuser.org/ Разработчик даже так и называет его, "Qubes OS light". Он поверх xpra работает. Но я не пробовал его использовать, к тому же он не поддерживает Podman. Мой велосипед из x11docker, nxagent и podman с самописными Dockerfile-ами меня пока устраивает.

Список альтернатив на сайте subuser тоже довольно интересный: https://subuser.org/related-projects.html

>>182260

>А имя файла нужно вставлять до или после грепа?

обсудили два года назад

>>182266

> Вот тут жалуются что xpra медленный

Если на другом континенте запускать то действительно медлденный. В пределах одной машины с encoding=rgb лаг незаметен.

> и это правда, а у меня он окна ещё с артефактами отображал

Ты случайно не lossy-сжатие использовал?
>>182267

> но в любом случае придется запускать отдельный init, dbus, ядро и т.д.

Во первых dbus нужен далеко не всем. Во вторых на фоне современного софта это все занимает слезы. В третьих существует дедупликация памяти.

> Самая большая проблема это распределение памяти

Если не хочется жестко выделять память то можно использовать memory balloning.

> То же самое с местом на диске, образы придется иногда расширять.

Тут вообще все просто - sparse-образы выделяются с запасом, но фактическое место на диске занимают только по мере его использования гостем. Кроме того некоторые фс также поддерживают дедупликацию кусков файлов.

> Ты случайно не lossy-сжатие использовал?

Нет, артефакты в виде лишних отступов по краям окна и т.п.

>>182277

> лишних отступов по краям окна

Хм, мне такого не встречалось. Может особенность wm какая-то?

> Хм, мне такого не встречалось. Может особенность wm какая-то?

Да, это dwm, так что очень может быть.

>>182279
Хм, что-то не могу ничего похожего воспроизвести, dwm-6.2, xpra-3.0.2-r1. Может пофиксили уже?

> Хм, что-то не могу ничего похожего воспроизвести, dwm-6.2, xpra-3.0.2-r1. Может пофиксили уже?

Сейчас проверил, электроноприложения которые я запускаю выглядят нормально, но при растягивании/скролле и т.п. обновляются заметно медленнее и видно как у них едет раскладка. С nxagent запуск и перерисовка намного быстрее, неотличимо от приложений запущенных напрямую, поэтому баги раскладки не так заметны.

>>182281>>182280
был такой глитч реально, начиная с 5.8 или около того
там чото из suckless в dwm криво переехало и долго отлавливалось
6.1 умвр

>>182225

Кубик это лаборатория, но никак не рабочая станция.

Сбежишь с него через неделю.