CGPS

Como he mencionado anteriormente, QubesOS es la distribución y sistema más segura que existe en este momento. QubesOS logra su seguridad famosa a través de la virtualización. En el modelo de QubesOS, uno divide sus acciones / sus usos de la computadora, y se asegura que sean independientes. Esto significa (como ejemplo) dividir lo que está relacionado con su trabajo, sus redes sociales / comunicaciones, su mánager de contraseñas, etc etc. Esto severamente limita el daño que pueda ocurrir en el evento de un compromiso (ej si ejecutan un virus en alguna máquina virtual).

Vamos a instalar QubesOS de una manera segura, y luego vamos a modificarlo para que se vea más moderno.

Instalación

QubesOS tiene una guía de instalación que les va a ser muy útil. No quiero simplemente repetir lo que ya está escrito, porque estoy seguro que escribieron la guía de instalación con más detalles. Por lo que estas son unas cosas adicionales que pueden ser útiles.

Al descargar el ISO de QubesOS, asegúrense de verificar el iso. Es importante estar seguros de que lo que están instalando viene de una fuente legítima.

Por defecto, casi todo el disco resulta ser cifrado. Todo excepto la partición de /boot. Esto es porque la computadora no puede entender / ejecutar el programa inicial de arranque si él también esté cifrado. En esa partición de /boot no viene nada confidencial/secreto. Simplemente un pequeño programa que lanza el kernel+initramfs, le pregunta por la contraseña para de-cifrar el disco, y luego continúa con el arranque. Sin embargo, esto resulta ser una venida por la que un atacante puede obtener la contraseña del disco (también llamado el ataque Evil Maid). Específicamente, como el /boot viene sin protección, puede modificar los contenidos para no solo preguntarle la contraseña del disco, sino también guardar/mandar esa contraseña al atacante. Esto requiere que un atacante tenga acceso físico a la computadora, que modifique los contenidos sin que ustedes se den cuenta, y que luego, ustedes vuelvan a entrar la contraseña para de-cifrar el disco.

Hay varias formas de protegerse contra este ataque. Una posibilidad es usar una utilidad de Qubes que se llama Anti-Evil-Maid. Se supone que usa un TPM (un chip de la computadora) para guardar una contraseña (aunque no estoy convencido de que esa utilidad sea efectiva). También existe TrenchBoot (pero es difícil instalarlo), y HEADS se puede usar para algo similar.

Pero una manera bastante simple es usar un USB, y guardar la partición de /boot (y el ESP de /boot/efi) allí. Inserten un USB, y hagan clic abajo para actualizar los discos. Seleccionen el disco duro donde quieren instalar Qubes, y el USB que aparece, y hagan clic en Personalizado Avanzado (Bivet-GUI). Luego presionen Hecho.

Esto les va a traer a la página donde pueden crear las particiones. En el USB hay que crear la partición de boot (con el punto de montaje en /boot). Y la ESP (EFI) con el punto de montaje en /boot/efi. Luego, en el disco, pueden crear la partición root (con el punto de montaje en /). Asegúrense de que activen cifrar los datos usando luks(2), y entren la contraseña del disco.

Tengan en cuenta que cada vez que quieran arrancar la computadora, tendrán que insertar ese USB. (No es necesario para dormir y despertarla). También tendrán que insertar (y montar) el USB cuando quieran actualizar dom0 (específicamente, si hay una actualización del kernel/xen/initramfs). Pueden montar las particiones del USB corriendo el comando sudo mount -a en el terminal de dom0.

KDE

Pueden instalar KDE (un desktop environment que controla cómo se ve) usando los comandos: sudo qubes-dom0-update kde-settings-qubes --setopt=install_weak_deps=False

y también:

sudo qubes-dom0-update qubes-desktop-linux-common-wayland

Al cerrar su sesión, pueden entrar a KDE si lo elijen arriba en un icono pequeño con una x.

Pueden incrementar los espacios virtuales en la configuración de KDE.

Pueden hacer clic derecho en un espacio virtual > configurar paginador > Mostrar iconos de las aplicaciones en el contorno de las ventanas para que aparezca un icono de la aplicación en el espacio virtual.

Pueden seleccionar un tema oscuro (Brisa oscuro) en las preferencias de KDE.

Es posible que algunos iconos de qubes permanezcan con un estilo claro. Un método (malo) para resolver esto es:

en /usr/lib/python3.13/site-packages/qubes_menu pueden remplazar qubes_menu_light.css con qubes_menu_dark.css

en /usr/lib/python3.13/site-packages/qubes_config/global_config/global_config.py pueden asegurarse que current_theme="dark"

en /usr/lib/python3.13/site-packages/qubes_config/widgets/gtk_utils.py igualmente pueden asegurarse que current_theme="dark"

Kicksecure

QubesOS por defecto viene con cubos basados en Debian, Fedora, y Whonix. Pero también pueden instalar otras distribuciones. En Qubes Global Config > Actualizaciones, activen los repositorios Community repo y Community testing repo. Luego, en Qubes Template Manager pueden instalar las distribuciones.

Como una alternativa un poco más segura que Debian, les recomiendo instalar Kicksecure.

Es posible que al crear cubos basados en Kicksecure que les llegue notificaciones de error de sdwdate-gui _{(algo como sdwdate-gui.ConnectCheck Error y sdwdate-gui.Connect Error)}. Para solucionarlo, en el terminal de dom0: sudo nano /etc/qubes/policy.d/30-user.policy

En ese archivo coloquen:

sdwdate-gui.ConnectCheck    * <nombre del cubo> * allow
sdwdate-gui.Connect    * <nombre del cubo> * allow