СВО привела к ещё большей сегментации сети. Некоторые зеркала отказывают в v4-коннектах из моей страны. Не хочется получить эту ситуацию при которой для апгрейда Qubes мне потребуется VPN. Похоже, что TOR тоже не всегда выход - количество нажатий клавиш для входа в TOR выросло по сравнению с тем что было раньше. Правда есть меш-сети и если включить v6 forwarding можно поднять yggdrasil пожертвовав анонимностью и безопасностью (yggdrasil откроет доступ в внутреннюю сеть для коннектов извне в силу природы меш сетей). В силу обстоятельств моя паранойя предлагает мне либо перейти на другой дистрибутив, либо работать и в российском дистрибутиве. Я купил новый ноутбук и в нём в федоре не работает звук (но работает в OpenSuSE Thumbleweed).Соответственно не работает звук и в Qubes. Встаёт вопрос о том, что я не могу доверять дистрибутиву сделанному в европе и не могу доверять полностью дистрибутиву сделанному в РФ. В обоих случаях я не доверяю правительству и это нормально. Но мне нужно хоть чему-то доверять. Таков парадокс. Меня звали в пресейл альт линукса, но я пока не пошёл - командировки противопоказаны по состоянию здоровья. Сейчас я решил покопать альт линукс, но в нём тоже не работает звук на моём новом железе. Печаль.
Вы пробовали установить ВПН на прокси куб и в глобальных настройках поменять “Dom0 update qube”?
С ВПН в кубес вроде бы терпимо. Я пользовался MozillaVPN так как у них клевая интеграция с Firefox, но в кубес это не имеет смысла. Так что я создал прокси куб, и в ручную подключаюсь с него когда нужно.
СВО привела к ещё большей сегментации сети. Некоторые зеркала отказывают в v4-коннектах из моей страны.
Я так понимаю, речь про РФ - не в курсе, давно не хожу в Интернет без VPN никуда кроме банков и государственных сервисов.
Обновлять Qubes без VPN в РФ плохая идея имхо.
количество нажатий клавиш для входа в TOR выросло по сравнению с тем что было раньше.
Вообще не понял. Поясните. Есть Whonix, в Кубах можно без проблем настроить обновление через whonix (см. etc/qubes/policy.d)
В обычных системах для обновления через Tor есть apt-transport-tor в Debian. Не в курсе, что там в Федоре, но в ней скорее всего можно настроить прокси для DNF.
В силу обстоятельств моя паранойя предлагает мне либо перейти на другой дистрибутив, либо работать и в российском дистрибутиве
Не понимаю чем дистрибутивы из РФ лучше чем другие. Поясните.
Все дистрибутивы собираются по сути из одного и того же софта (упрощенно говоря).
Лично я, если бы опасался закладок от американских разрабов, выбирал бы дистрибутивы без systemd (надеюсь, systemd со временем выкинут из Qubes).
И к тому же, вряд ли есть что-то более безпасное, чем Qubes.
Я купил новый ноутбук и в нём в федоре не работает звук (но работает в OpenSuSE Thumbleweed)
Звуковой чип интегрированный в материнскую плату, или что-то другое?
Попробуйте новейшее ядро Linux.
Встаёт вопрос о том, что я не могу доверять дистрибутиву сделанному в европе и не могу доверять полностью дистрибутиву сделанному в РФ.
Определите недоверенный софт и избегайте его.
Боитесь вредоносных изменений от тов. майора из РФ? не используйте дистрибутивы из РФ.
В обоих случаях я не доверяю правительству и это нормально. Но мне нужно хоть чему-то доверять.
Возможно Вас заинтересует Exherbo. Вряд ли пилящие его ребята связаны с правительством какой-нибудь страны. Но там по умолчанию systemd.
systemd это наиболее недоверенный компонент, имхо, потому что его насильственно пропихнули, сам Леннарт Поттеринг писал об этом. Возможные доказательства есть на nosystemd.org
Раньше я входил в Tor без дополнительных выкрутасов, теперь могу войти так только с некоторой вероятностью - нужно просить через gmail или telegram мосты. Моя анонимность по отношению к США стала фикцией. Хотя она и не особо нужна, но это печально. Впрочем посадка всяческих владельцев магазинов типа гидры и анализ корреляций (как способ борьбы с TOR) об этом намекали и ранее.
Анонимность по отношению к властям РФ тоже уже давно фикция - удобство пользования wifi и 4g в метро перевесили и я поставил себе на андроид телефон приложение для входа в wifi сеть метрополитена.
Но самое главное - противоречие угроз. Если я пойду работать мне дадут явки и пароли к корпоративным ресурсам. А дальше вопрос - нужно ли мне защищаться от европейцев, которые сделали Qubes? Я мог сказать нет не нужно до начала СВО, но потом это уже не факт, хотя согласно Qubes OS cannary на них до сих пор никто не давил с целью атаковать того или иного пользователя в РФ…
Допустим в Qubes мне не нужно опасаться атак со стороны разработчиков ОС (есть отдельный большой тред на форуме не являются ли Qubes ханипотом сами по себе, но я его, признаться,не читал - уж больно мне понравился концепт в Qubes ещё тогда, когда его описывала Рутковска). Невозможно недоверять всему к сожалению. Чему то приходится доверять. И до тех пор пока в федору не пришло это поветрие резать доступ к сервисам на основе черных и белых списков я считал что можно доверять и fedora и Qubes у которого Dom0 сидит на старом дистрибутиве федоры. На боле-менее новом дистрибутиве федоры у Qubes net-куб. Некоторое время назад fedora была куплена IBM, но всё же выжила. Но у меня не повышается уровень доверия к операционке, которая начинает лезть в политоту. Qubes меня только радовал раньше. Сейчас же, когда появились средства автоматизации развертывания кубов они стали сложнее и прожорливее, а как следствие несколько медленнее. Я купил железку на corei7 с 16 гигами ОЗУ и полутерабайтом ssd. Довольно экономный вариант. К счастью Qubes поддерживает её хотя бы частично (не держит звук и микрофон), но это уже наследство от федоры.
Вошел в моду docker (кстати действительно удобное поделие если ты хочешь сделать быстро и тиражируемо). Вошел в моду flatpack, которым я ещё не пользовался и совсем не в курсе что там с изоляцией от хоста на котором он выполняется… мир ИТ меняется очень быстро.
Возвращаясь к апдейтам Qubes без VPN и вообще апдейтам я вижу проблему в том, что разные центры сертификации конфликтуют друг с другом. Мозилла firefox предупреждает о том, что сертификаты минцифры обеспечивающие соединение не являются доверенными (я ставил в виртуалке сертификаты минцифры ради интереса ещё в федоре). Но в то же время я не собираюсь основываться на мнении удостоверяющего центра из США при работе с с сайтом госуслуг РФ. Для сайтов сделанных в РФ использование сертификатов минцифры вполне себе норм. Не норм выпуск сертификатов под чужие сайты. И этот ‘не норм’ может быть выполнен сертификационными центрами США точно так же, как и сертификационными центрами РФ для товарища майора. И совершенно наплевать это майор страны НАТО или майор РФ санкционировал такую подделку.
На форуме идёт дискуссия о том, что неплохо бы иметь выбор какой дистрибутив использовать в Dom0. Возможно это имеет смысл - пока не знаю.
Нормальный в общем-то совет. В федоре рано или поздно починят работу с тем чипсетом, что у меня, а пока мне приходилось собирать ядро, а я как-то уже и отвык красноглазить. 
К тому же ядра прилетают в федору раза два в неделю или в месяц - не помню, но всяко чаще чем мне хотелось бы собирать ядро или прошивки для работы ядра с звуковыми картами по howto с гитхаба.
Что тот, что этот - оба два майоры, майор страны нато не отличается от майора из моей собственной страны в том смысле, что обоим майорам нечего совать нос в мой собственный жёсткий и ссд диски.
Из за паранойи я потерял где-то в недрах удаленных старых бакапов-крипто-дисков исходники которые 3 месяца писал сам - чтобы работали с сетью умные весы… печаль.
Интерполу всё равно кого арестовывать - того кто виновен с точки зрения твоей страны или того кто виновен с точки зрения чужой страны. С одной стороны акаб, а с другой - бандиты ничем не лучше и когда они докапываются спасают именно копы.
Когда я начинал интересоваться ИТ в РФ не было законов о перс. данных и фидошники помогали друг другу, а не ругались вдрызг… Впрочем это уже совсем другая история.
Они не лучше и не хуже. Они вещь в себе заточенная под реалии РФ. В РФ есть заводы. На заводах есть требования к ИС. В частности требования всяких фстэк и госты им надо соблюдать и соответственно некоторыми надо ставить себе сервера на ПО адаптированном в РФ. Мне же, чтобы попасть в команду разработчиков альтлинукса потребуется пройти процедуру входа в команду, завести себе pgp ключ, ssh ключ, найти в команде ментора и сделать ещё некоторое количество движений подтверждающих моё желание работать в команде разработчиков дистрибутива. И вот я думаю - где и как я должен хранить все сопутствующие секреты и как я буду с разработчиками другими общаться. Десятый альт я поставил и снес. Qubes я поставил третьей операционкой и снес - звука то всё равно в нём не было… А Windows11 сносить жалко - он вполне себе работает и когда нибудь я возможно захочу его запустить как виртуалку внутри Qubes. Если конечно не снесу его случайно в процессе экспериментов с операционками. Дома машинка на AMD с Qubes, а ноут этот на Intel. И вот сейчас мне жалко сносить OpenSuSE - единственный дистрибутив который из коробки имеет звук, а сносить наверное надо - ssd не резиновый и с моими аппетитами сожрать сто гиг на диске используя Qubes не сложно.
В конце концов, друг, который по прежнему сидит на федоре и ругает почём зря OpenSuSE, подарил мне на день варенья usb звуковуху с переходником на type-c - как самый простой вариант для человека, который иногда имеет три-четыре операционки на одном ноутбуке. А ведь в Qubes на новом железе есть возможность иметь USB куб… что не упрощает ситуацию.
Печаль же ещё и в том, что если даже я куплю лицензию на коммерческую составляющую QubesOS (найду способ заплатить, что само по себе сейчас по идее нетривиально должно быть - платежи зарубеж) и куплю лицензию на AltLinux (однажды я уже имел коммерческую лицензию для физ лица на Linux и мог общаться с техподдержкой), то это совсем не значит, что за мои деньги я получу вкомпиленную в ядро поддержку моего железа. Потому, что она может конфликтовать с чем-то ещё и ядро собранное так же как в OpenSuSE надо ещё прогнать на тестовом стенде… При поиске решения для моего ноутбука в гугле, я натыкался на баг заведенный в Qubes про вроде-бы мой чипсет - наследство федоры. В общем-то я не стремлюсь заплатить деньги, так как, пока не работаю, а только ищу работу, так что на этот абзац ворчания можно не обращать внимания.
Спасибо за новое для меня имя дистрибутива. Что касается systemd - я его тоже не люблю, но в современности это что-то вроде неизбежного зла. 
В федоре вроде собираются избавиться от стартовых скриптов для сети переделав всё на systemd, но это не точно. Зато что точно, так это то, что fedora как и Xen это апстрим дистрибутивы для Qubes.
Хоть это и считается в Qubes не нужным, но я по прежнему за то, чтобы кубы запрашивали Dom0 когда в них используют sudo . К сожалению HOWTO для федоры в части установки Dom0 sudo prompt устарело и мне никто не ответил когда я просил его обновить - в новомодной федоре которую имеет смысл ставить работу с sudo переделали и копипаста из старого HOWTO уже не выход.
Почему Вы так думаете? Пользоваться Qubes пока не запрещено.
Раньше я входил в Tor без дополнительных выкрутасов, теперь могу войти так только с некоторой вероятностью - нужно просить через gmail или telegram мосты.
Простите, вначале я забыл написать, что хожу в Tor через VPN. Так точно проблем не будет.
Анонимность по отношению к властям РФ тоже уже давно фикция - удобство пользования wifi и 4g в метро перевесили и я поставил себе на андроид телефон приложение для входа в wifi сеть метрополитена.
Левый телефон без гуглозондов и левая симка и проблемы нет (вроде…).
А дальше вопрос - нужно ли мне защищаться от европейцев, которые сделали Qubes? Я мог сказать нет не нужно до начала СВО, но потом это уже не факт, хотя согласно Qubes OS cannary на них до сих пор никто не давил с целью атаковать того или иного пользователя в РФ…
атаковать того или иного пользователя
Имхо, единственная реалистичная атака для Qubes, кроме эксплуатации уязвимостей в Xen - подсунуть троян в обновлениях. Для того чтобы ее избежать, можете обнновлять только пакеты специфичные для Qubes, собирая их перед этим самостоятельно. В общем, не знаю, сами думайте.
куплю лицензию на коммерческую составляющую QubesOS
Какую коммерческую составляющую? Вроде нет такого. только за техподдержкой можно обратиться, емнип.
я считал что можно доверять и fedora и Qubes
И сейчас вполне можно. Если я правильно понимаю принцип взаимодействия dom0 c сетью, он может только запрашивать скачивание обновлений у виртуальных машин, которая после скачивания копирует их в dom0.
Поэтому на мой взгляд, с точки зрения безопасности вообще без разницы, какой дистрибутив использует dom0.
Сам я тоже настороженно отношусь ко всяким новвоведениям IBM, поэтому перешел везде на Debian, уповая на то, что если IBM притащит в федору какую нибудь пакость, в Debian она окажется только в следующем релизе, либо вообще не окажется.
Мозилла firefox предупреждает о том, что сертификаты минцифры обеспечивающие соединение не являются доверенными
Давно не пользуюсь firefox, но в LibreWolf вроде работают.
Но в то же время я не собираюсь основываться на мнении удостоверяющего центра из США при работе с с сайтом госуслуг РФ.
Не думаю, что для США есть смысл вредить РФ через кражу данных или подделку. Надо все-таки имитировать демократию и вот это вот все. А то оккупируемые США страны подумают, что американцы и с ними так же могут, и не захотят больше “дружить” с США.
На форуме идёт дискуссия о том, что неплохо бы иметь выбор какой дистрибутив использовать в Dom0. Возможно это имеет смысл - пока не знаю.
Имхо, смысла нет, вряд ли кто-то возьмется тащить.
Что касается systemd - я его тоже не люблю, но в современности это что-то вроде неизбежного зла.
Есть дистрибутивы без systemd, вполне можно использовать. Везде, где нет Qubes, пользуюсь такими, проблем нет.
Обновлять Qubes без VPN в РФ плохая идея имхо.
Не нужно показывать, что тебе есть что скрывать, когда иожно этого не делать. Видел слова в интернете, как кто-то писал, что в США если тех ето использует Qubes и/или Whonix “ставят на карандаш”. Можете попробовать погуглить. Мне кажется со временем со всякими нормальными людьми, которые не хотят, чтобы вся инфа об их жизни/работе сливалась всем подряд будут бороться сильнее во всех странах.
Думайте сами.
UPD: Еще такое соображение появилось по поводу атаки разрабов Qubes на конкретного пользователя. В теории механизм подсовывания “кому надо” вредоносных обновлений может основываться на IP-адресе, с которого пользователь подключается к зеркалу.
Но это не точно.
Вот еще одна причина по которой для обновлений может быть смысл использовать VPN или Tor.
Чтобы запускать кубы с Windows (не помню поддерживаемые версии винды) надо было коммерческую лицензию, как сейчас не в курсе - надо читать много букв на сайте ОС.
Вероятно, Вы говорите про те старые времена, когда Qubes Windows Tools не были свободным ПО. Помню заголовок какой то старой новости вроде “Qubes Windows Tools стали Open Source” Но это было совсем давно.
Я пользуюсь Qubes со времен 4.0, там вроде бы поломали тогда что-то, у меня с Windows 10 оно не завелось, сейчас в 4.1 все чики-пуки, и все бесплатно.
Со звуком правда проблемы есть, но в моем случае проблема решается пробросом USB напряямую в Windows.
В общем я полностью доволен. Если бы не было Qubes, жизнь была бы отстой.
Как то я пробовал организовать условно похожую на Qubes систему на базе обычного Linux (тогда еще не доделали Qubes Windows Tools), понял что это невыразимая боль, и вернулся назад.
Думаю, что с Qubes ничего плохого не случится.
На данный момент довольно легко купить VPN, ибо выбор огромный, хотя если выбирать из чего-то конкретного, то лучше наверное какой-нибудь Windscribe, Nord, Pure или Browsec(если для браузера)
Это может быть вызвано цензурой в вашей стране или блокировкой определенных IP-адресов. Использование VPN может быть полезным в этом случае, хотя вы упомянули, что не хотите прибегать к этому. Но я думаю что надежнее будет все таки купить прокси, только естественно у проверенных людей. Если звук работает в OpenSuSE Thumbleweed, но не в Fedora и Alt Linux, возможно, проблема в драйверах звука. Попробуйте обновить ядро и установить/переустановить драйверы звука для Fedora и Alt Linux.