Компьютер не видит загрузчик Кубов и приходится запускать вручную, через boot menu. Может ли в этом быть потенциальная проблема? И ещё пару вопросов новичка

Здравствуйте. Я новенький. Юзер, который хочет мигрировать с Tails на Qubes. У меня есть пара вопросов.

1. Я дважды устанавливал Qubes на один и тот же ноутбук, фирмы HP. Первый раз это была версия 4.0.1, второй раз была 4.1.2. и оба раза ос не грузилась через Grub. При включении компьютера он сообщал, что на нём отсутствует ос. Но оба раза установщик сообщал, что установка прошла успешно. Сама разметка диска проходила автоматически, без моего участия. Чтобы запустить ос в итоге надо было войти в меню загрузки и выбрать загрузчик grub вручную.

Фактический путь выглядел так:

Boot From EFI File / имя файла (или диска?) / < EFI > / дальше идёт выбор из трёх пунктов: < BOOT >, < fedora >, < qubes > (я выбираю “< qubes >”), дальше пункты: < fonts >, <xen-4.14.5.efi>, <grubx64.efi>, <xen.efi> (я выбираю <grubx64.efi> и тогда запускается Grub, затем идёт предложение ввести пароль от диска.

Собственно суть в том, что я не считаю это проблемой, а наоборот - даже считаю, что это не баг, а фича. Ведь теперь, если “злые силы” заполучат мой компьютер, я всегда могу сказать, что на нём не установлено никакой операционки и включив его, они в этом убедятся, если не начнут копать глубже.

В общем смысл в том, что меня в принципе этот момент устраивает, и я совсем не горю желанием заморачиваться по этому поводу, но должен на всякий случай спросить: есть ли всё-таки какие-то веские причины мне всё-таки заморочиться с этим и искать способ, как восстановить нормальный способ загрузки или можно и правда оставить всё как есть, без каких-либо потерь? Если на саму работу ос это никак не повлияет, тогда для меня всё ОК.

2. На втором этапе установки, когда был этап выбора компонентов для установки, я убрал галочки с пунктов Fedora и Debian, и оставил только Whonix, чтобы у меня не было клирнет трафика, а всё всегда заворачивалось только в tor network, как это происходит в Tails. Вот только там ниже были важные для меня пункты, которые надо было чекнуть, но из-за того, что я оставил только Whonix, эти пункты стали неактивны. Мне надо было, чтобы куб для usb мог работать с интернетом, так как интернет в кубах будет идти через модем. Чтобы этот пункт стал активным, я на время снова чекнул Debian, чекнул пункт про интернет в usb, а потом снова убрал галочку с Debian. Помогло это хоть как-то или из-за того, что ни Debian, ни Fedora не устанавливались, модем использовать не получится? Спрашиваю, потому что пока что физически нет возможности проверить работу модема, так как его нет ещё. Поэтому хоть заранее буду знать и загодя, если что, переустановлю ос по-нормальному.
   И вообще, нужна ли установка осей, кроме Whonix, чтобы кубы могли функцианировать как задуманно?

P.S. Ещё тревожит такой момент, что если несколько раз ввести неправильный пароль от диска, то комп выдаёт чёрный экран с ошибкой, что не существует таких путей, как dom0/root и ещё несколько с dom0. Что он фактически не может загрузить ос. Нигде в мануале по кубам не встречал такой особенности. Это нормальный момент (в смысле так и задумывалось?) или здесь что-то не так?

Cross-referencing: Qubes not loading without manual selection in boot menu. Is it actually a problem? And few more questions of newbie

(In case one thread gets different replies to the other.)

Есть способ перевести интерфейс кубов на русский язык? А то они и так, как приборная панель космического корабля, так ещё и всё по-английски.

Добрый день, что касается загрузчика:

• если это вам не мешает можете оставить как есть (если ваш компьютер будут проверять, то все равно увидят что на нем установлены другие ос). Если вам нужно чтобы операционная система запускалась сразу, без выбора в boot menu, вам нужно в bios изменить приоритетность загрузки, чтобы grub был первым в списке на загрузку.

Насчет sys кубов и шаблонов при установке:

• sys-net куб по умолчанию отделен от sys-usb, и sys-usb не имеет доступа к интернету. Шаблоны по умолчанию debian и fedora я советую установить, без них вам сложно будет нормально пользоваться системой (вы все так-же можете перенаправить траффик с кубов основанных на этих ос через тор). По умолчанию все кубы имееют доступ к интернету через sys-firewall куб. Мы можете отключить доступ к интернету кубам, которым он не нужен. И включить тем, которым он необходим. Usb-свисток который вы будете использовать вы можете через pci поместить в нужный вам куб, либо использовать через sys-net.

Вы можете очень граммотно настроить сеть, советую вам начать знакомство с оффициальной документации по qubes на их сайте.

Я не уверен что приложения написанные для qubes поддерживают русский язык, однако сторонние придожения вполне могут. По умолчанию в qubes установлено окружение рабочего стола xfce. Вы можете изменить язык в Settings Manager он установится для всей ос, но не факт что все приложения это поддерживают.

Да нет, не всё так просто. С этой ошибкой сталкивался не только я, но и другие пользователи. И что интересно - оба раза с ноутбуком HP. Просто сменить порядок загрузки не помогает. Там какая-то проблема с тем, как загрузчик устанавливается или типа того.

Благодарю за ответы. По ходу знакомства с кубами, понял, что эта ос слишком сложная, чтобы вот так вот пользоваться ею сразу в работе и учиться ей вот так по ходу, “в боевых условиях”, поэтому пришло понимание, что надо для начала как-то тестить её в безопасном окружении и условиях. Из всех возможных вариантов у меня осталось установить ещё одну операционку Qubes, но уже на внешний жёсткий диск и там тестить её, пока не овладею ею в должной мере. Вот только он не пустой. Возможно ли установить кубы на оставшееся свободное место так, чтобы можно было загружать ос, а когда надо, открывать файлы на этом диске, как на обычном внешнем носителе? Допустим для ос создам раздел на этом диске, туда поставлю ос и этот раздел зашифрую при установке, а остальной раздел будет обычным разделом NTFS с файлами.

Ещё у меня есть внутренний HDD. Без ОС, но с файлами на нём. Мог бы сделать с ним то же, что описал выше - создать раздел, установить туда кубы с шифрованием этого раздела при установке, а на оставшемся пространстве останутся файлы в разделе с разметкой NTFS. Чтобы был комп с двойной загрузкой, когда на двух дисках стоят операционки и ты, при включении выбираешь какую запускать. То есть, если я тупо установлю кубы на этот HDD, при включении компа будет отображаться меню с выбором с какого диска ось грузить или придётся в бут меню заходить каждый раз для этого? Или будет тупо запускаться Windows, а чтобы кубы запустить, надо будет в бут меню лезть?

А где конкретно в settings manager эти настройки языка? Я там всё облазил, нет там никаких настроек языка.

Да, я ошибся, в Settings Manager нет интерфеса для выбора языка системы. Скорее всего его можно сменить через консоль.

Что касается шифрования диска, я не уверен что система может шифровать только нужный раздел при установке. Насколько я знаю шифрование используется для всего диска. Я считаю что вам нужно проверить это на другом диске без ваших данных, чтобы вы их случайно не потеряли.

Обычно grub сам подхватывает другие операционные системы после их установки, и добавляет их в список загрузки, чтобы вы могли их выбирать. Но если это не сработает вы можете выбрать нужную вам ос в boot menu

Я читал мануалы на сайте кубов и Whonix и так и не нашёл ответы на кое-какие вопросы.

1. Мне вообще нужны кубы sys-net, sys-firewall и кубы, использующие их, или их можно все удалить нахрен и не переживать? Мне нужно, чтобы у меня весь трафик шёл через тор, как это есть в Tails, поэтому может мне их удалить все, чтобы исключить любую вероятность утечки траффика в клирнет? Или без этих кубов операционка не будет работать нормально или вообще не будет работать?

2. В чём смысл существования Disposable Template, если этот Disposable Template это точно такой же Template, только основанный на ещё одном Template? Почему нельзя сразу создавать куб Disposable на Template?

3. Почему во время создания куба Whonix Workstation даётся выбор какой интернет куб к нему подключать, когда и ежу понятно, что если это Whonix Workstation, значит ему нужен либо sys-whonix (он же Whonix Gateway), либо вообще отсутствие интернета (и тогда надо выставлять “none”)? Зачем давать возможность подключать sys-net, если тогда пойдёт обычный клирнет траффик, в обход Tor?

Бывает, что проверка поверхностная, делается не айтишником. Тогда эта фича проканает. У меня тоже кубов не было некоторое время в списке на загрузку - так я впилил их в качестве бут меню в один из линуксов, что держу на своём лаптопе. Любой вменяемый айтишник увидит ОС в списке gpt разделов диска.

Это должно быть жесть как медленно, если вообще возможно. Не рекомендую.

Вы можете поставить две версии кубов с разными дисковыми паролями, тогда они не будут видеть друг друга (но будут видны в биос и будут видеть uefi разделы gpt разбиения диска - вам достаточно сделать два-три системных efi раздела не жадничая на их размер и не жадничая на /boot, который тоже должен быть не зашифрован).

Нет смысла шифровать не все разделы, из тех, которые отданы кубам - потеряется защищённость от анализа когда лаптоп выключен. Шифровать можно только то, что принадлежит кубам. У меня на лаптопе 4 операционки, одна из них кубы. Шифрование включено в трёх. В основном чтобы они не гадили друг в друга.

Да, нужны - это вопрос удобства. Вам уже ответили что всё идёт через цепочку sys-firewall → sys-net в конфигурации по умолчанию, в том числе whonix. Это позволяет гибко управлять кубами через Qube Manager.

Я бы не прочь увидеть ответ на этот вопрос на русском - когда-то читал, но ткнуть в документацию сразу не могу, сам же боюсь дать неверный ответ.

Потому, что вы можете иметь несколько кубов смотрящих в финальную трубу sys-firewall-sys-net. Например вы можете пустить тор трафик через sys-vpn (которого нет в дефолтной конфигурации и который можно создать).

Ну и ещё потому, что прострелить себе ногу можно в любой операционке.