تسطيب وشرح اقوى توزيعه امنيه Qubes


(ناصر المجهول) #1

السلام عليكم ورحمه الله وبركاته

اليوم باذن الله تعالى ساقوم بتسهيل فهم اخطر توزيعه امنيه موجوده على الساحه وهي Qubes. شكر خاص لاخونا @mahmod على شرحه طريقه تنصيب التوزيعه.

يجب ان تقوم بمعرفه هذه الامور قبل تنصيبك لها:-

1-نظام Qubes لا يتنصب على جميع الحواسيب (خاصه التي لا تدعم الVirtualiazation) , فلذلك يرجى مراجعه هذه القائمه:- (رابط خدمات تور المخفيه هنا)

2- يرجى قراءه المواصفات الادنى والمفضله للحاسوب الذي سينصب عليه Qubes (رابط خدمات تور المخفيه هنا)

3- توزيعه Qubes لا تنصب داخل اله افتراضيه مثل ال virtualbox او qemu.

4- ليست منصه للالعاب ولا للقادمين الجدد الى عالم جنو/لينكس.

  • لتحميل التوزيعه تفضل من هذا الرابط:- (رابط خدمات تور المخفيه هنا)
  • قم بتحميل التوزيعه مع المفاتيح/التواقيع مثل ما موضح بالصور

بحيث يصبح لديك في ملف الDownloads على سبيل المثال هذا الشكل

  • كيفيه التحقق من ان النسخه التي قمت بتنزيلها هيه النسخه الصحيحه والصادره من مطوري Qubes من هنا. (ساكتب الخطوات المختصره بدون شرح مفصل)

ملاحظه: نقوم بكتابه الاوامر في داخل مسار الذي حمل فيه التوزيعه مع المفاتيح مثل ما موضح بالصوره اعلاه وهو/ Downloads للذهاب اليه بالطرفيه نكتب:

/cd Downloads

1- نقوم بالحصول على سيد توقيع المفاتيح الخاص بكيوبز والتحقق من صحتها عن طريق هذا الامر:

 gpg --fetch-keys https://keys.qubes-os.org/keys/qubes-master-signing-key.asc

مخرج الامر سيكون:

gpg: requesting key from 'https://keys.qubes-os.org/keys/qubes-master-signing-key.asc'
gpg: key DDFA1A3E36879494: public key "Qubes Master Signing Key" imported
gpg: Total number processed: 1
gpg:               imported: 1

وكذلك يمكن استخدام هذا الامر:

 gpg --keyserver pool.sks-keyservers.net --recv-keys 0x427F11FD0FAA4B080123F01CDDFA1A3E36879494

مخرج الامر سيكون:

gpg: key DDFA1A3E36879494: 60 signatures not checked due to missing keys
gpg: key DDFA1A3E36879494: "Qubes Master Signing Key" 2 new signatures
gpg: no ultimately trusted keys found
gpg: Total number processed: 1
gpg:         new signatures: 2

2- بعد التاكد من ان المخرج سيكون متطابق مع ضروره التاكد من وجود DDFA1A3E36879494 نقوم بوضع الثقه الى “مطلق” :

gpg --edit-key 0x36879494

مخرج الامر سيكون:

gpg (GnuPG) 1.4.18; Copyright (C) 2014 Free Software Foundation, Inc.
This is free software: you are free to change and redistribute it.
There is NO WARRANTY, to the extent permitted by law.


pub  4096R/36879494  created: 2010-04-01  expires: never       usage: SC
                     trust: unknown       validity: unknown
[ unknown] (1). Qubes Master Signing Key

ثم نكتب fpr ثم نضغط على Enter مخرج الامر سيكون

pub   4096R/36879494 2010-04-01 Qubes Master Signing Key
 Primary key fingerprint: 427F 11FD 0FAA 4B08 0123  F01C DDFA 1A3E 3687 9494

ثم نكتب Trust ثم Enter ومخرج الامر سيكون

pub  4096R/36879494  created: 2010-04-01  expires: never       usage: SC
                     trust: unknown       validity: unknown
[ unknown] (1). Qubes Master Signing Key

Please decide how far you trust this user to correctly verify other users' keys
(by looking at passports, checking fingerprints from different sources, etc.)

  1 = I don't know or won't say
  2 = I do NOT trust
  3 = I trust marginally
  4 = I trust fully
  5 = I trust ultimately
  m = back to the main menu

Your decision?

نقوم بالضغط على 5 ثم نضغط Enter ويسألك بعدها هل انت متاكد فنضغط على Y ثم Enter والمخرج سيكون:

pub  4096R/36879494  created: 2010-04-01  expires: never       usage: SC
                     trust: ultimate      validity: unknown
[ unknown] (1). Qubes Master Signing Key
Please note that the shown key validity is not necessarily correct
unless you restart the program.

بعدها نضغط على q ثم Enter للخروج

3- نقوم بتنزيل مفتاح التوقيع الخاص بالاصدار

gpg --fetch-keys https://keys.qubes-os.org/keys/qubes-release-4-signing-key.asc

مخرج الامر سيكون

gpg: requesting key from 'https://keys.qubes-os.org/keys/qubes-release-4-signing-key.asc'
gpg: key 1848792F9E2795E9: public key "Qubes OS Release 4 Signing Key" imported
gpg: Total number processed: 1
gpg:               imported: 1
gpg: marginals needed: 3  completes needed: 1  trust model: pgp
gpg: depth: 0  valid:   2  signed:   1  trust: 0-, 0q, 0n, 0m, 0f, 2u
gpg: depth: 1  valid:   1  signed:   0  trust: 1-, 0q, 0n, 0m, 0f, 0u
gpg: next trustdb check due at 2019-12-25

ثم نقوم بالتاكد ان مفتاح التوقيع الخاص بالاصدار موقع من قبل سيد توقيع المفاتيح الخاص بكيوبز عن طريق هذا الامر

"gpg --list-sigs "Qubes OS Release 4 Sig

مخرج الامر سيكون

pub   rsa4096 2017-03-06 [SC]
      5817A43B283DE5A9181A522E1848792F9E2795E9
uid           [  full  ] Qubes OS Release X Signing Key
sig 3        1848792F9E2795E9 2017-03-06  Qubes OS Release X Signing Key
sig          DDFA1A3E36879494 2017-03-08  Qubes Master Signing Key

4- نتاكد من نسخه الISO الخاصه بكيوبز

gpg -v --verify Qubes-R4.0.1-x86_64.iso.asc Qubes-R4.0.1-x86_64.iso

مخرج الامر سيكون

gpg: Signature made Sat 05 Jan 2019 10:05:39 PM EST
gpg:                using RSA key 5817A43B283DE5A9181A522E1848792F9E2795E9
gpg: using pgp trust model
gpg: Good signature from "Qubes OS Release 4 Signing Key" [full]
gpg: binary signature, digest algorithm SHA256, key algorithm rsa4096

(المهم ان تكون القراءه gpg: Good signature from "Qubes OS Release 4 Signing Key")

5- نتاكد من الDigests الخاص بكيوبس(نقوم بكتابه كل امر على حده)

md5sum -c Qubes-R4.0.1-x86_64.iso.DIGESTS
ثم
sha1sum -c Qubes-R4.0.1-x86_64.iso.DIGESTS
ثم
sha256sum -c Qubes-R4.0.1-x86_64.iso.DIGESTS
ثم
sha512sum -c Qubes-R4.0.1-x86_64.iso.DIGESTS

مخرجات الامور ستكون مثلا للmd5

Qubes-R4.0.1-x86_64.iso: OK
md5sum: WARNING: 22 lines are improperly formatted

وهكذا بالنسبه للباقين , ثم الامر الاخير وهو:

gpg -v --verify Qubes-R4.0.1-x86_64.iso.DIGESTS

ومخرج الامر سيكون

gpg: armor header: Hash: SHA256
gpg: original file name=''
gpg: Signature made Sat 05 Jan 2019 10:06:36 PM EST
gpg:                using RSA key 5817A43B283DE5A9181A522E1848792F9E2795E9
gpg: using pgp trust model
gpg: Good signature from "Qubes OS Release 4 Signing Key" [full]
gpg: textmode signature, digest algorithm SHA256, key algorithm rsa4096

ملاحظه:- اذا كنت تسال عن كيفيه توفير توزيعه Qubes اقصى مستويات الحمايه يرجى التفضل بقراءه هذه الكتيب:- (رابط خدمات تور المخفيه هنا)

تنصيب التوزيعة

بداية لا بد من حرق الـiso على اي وسيط تنصيب DVD او Flash memory وبإمكانك استخدام اي طريقه مذكوره هنا.

  • اختر Install Qubes R4 .

10

  • اختر اللغة التي تريد استخدامها اثناء التنصيب .

  • في هذه الشاشة سنقوم بوضع اعدادات لغات لوحة المفاتيح ولغة النظام والتوقيت ووسيط التنزيل واختيار البرامج الاضافية .

  1. اعدادات لوحة المفاتيح : اضغط على “+” ثم اختر اللغات التي تود اضافتها .

– بإمكانك تجربة الاحرف في المربع النَصِّي الموضح , ثم اضغط Done .

  1. اعدادات اللغات المدعومة : اختر اللغات التي تريد تنصيبها في النظام ثم Done .

  1. اعدادات التوقيت : بسهولة بامكانك النقر على الخريطة لتحديد مكانك او من خلال القوائم في الاعلى .

  1. اعدادات وسيط التنزيل : سيختار الوسيط الذي استخدمته بشكل تلقائي , دعها كما هي .

  1. اعدادات البرامج الاضافية : ستجد الاضافات التي يمكنك تثبيتها على الـ Base Environment و على الـ User Environment . (يفضل عدم تنزيل التوزيعات الافتراضيه من خلال الdvd , لان في غالب الاحيان سيكون اختلاف النسخ بين التي ستكون في السيرفر وهي حديثه (تستطيع تنزيلها بعد تسطيب Qubes) اما التي ستكون داخل الdvd تكون قديمه)

  • الان سنذهب الى اعدادات التقسيم ومكان تثبيت النظام .

  • اعدادات التقسيم ومكان التثبيت :

  1. تقسيم تلقائي “يفضل استخدامه اذا كنت مبتدئ” . هذا الخيار سينشئ لك :
    – Root Partiton
    – Swap Area
  2. اذا اردت تقسم النظام بنفسك واختيار المساحات والمسارات فاستخدم هذا الخيار .
  3. تشفير البيانات على القرص . “اذا اخترته سيطلب منك اضافة كلمة مرور” .
    بعد الانتهاء من اختيارتك اضغط Done .
  • ابدا التنصيب “Begin Installation” .

  • سيبدا تنصيب التوزيعة بينما تقوم بإنشاء حساب لك ووضع كلمة مرور للجذر Root .

  1. قم باختيار كلمة مرور لحساب الجذر , ثم Done .

  1. قم باختيار اسم حسابك و كلمة مرور , ثم Done .

  • انتظر انتهاء التنصيب ثم Reboot .

  • بعد اعادة التشغيل .

27

  • في اول مرة تقوم بها بتشغيل النظام سيعطيك بعض الاعدادات , يمكنك تعديلها بحسب استخدامك “ويفضل تركها كما هي للمبدتئين” , ثم اضغط Done , وانتظر حتى ينتهي من الإعدادات .

  • اضغط على FINISH CONFIGURATION

  • صورة من سطح المكتب :

- ماذا تعني اهم الاشياء التي ستراها امامك بعد تنصيبك للتوزيعه

  • قبل البدء بالشرح يجب ان تعلم اهم المصطلحات التي ستراها امامك:-

:sparkle: قالب الاله الافتراضيه TemplateVM :- هنا ستكون التوزيعه قابله لعمليات الroot وتبقى محافظه على البرامج المنصبه. مثلا اذا قمنا بتنصيب برنامج X فسيبقى البرنامج منصب داخلها. كذلك يمكننا ان نستخرج منه AppVM وجعل اعمالنا هناك. (يفضل استخدام الTemplate فقط للUpdates/Upgrades او تنصيب برنامج معين ولكن ليس للاستخدام الشخصي/اليومي داخله مثل التصفح على النت او العمل على برنامج او الخ).

:sparkle: تطبيق الاله الافتراضيه AppVM :- هنا سيكون العمل داخل هذه التوزيعه غير قابل لحفظ عمليا الroot , مثلا لو قمت بتنصيب برنامج X ثم بعدها اطفئت واعدت تشغيلها سيمحى هذا البرنامج. هنا ستقوم بعمل كل ما تحتاجه من حياتك اليوميه, مثلا التصفح واعمالك اليوميه …الخ.

ملاحظه:- اي شيء تقوم بتنزيله او عمل قمت بحفظه …الخ سيكون محفوظ داخل التطبيق. ولكن شرط ان لا يستخدم صلاحيات الروت. مثل تنصيب برنامج او تنزيل احتياجيه …الخ. هذا يجب ان تقوم به داخل الtemplate وليس الappvm.

:sparkle: اله افتراضيه مستقله StandealoneVM :- وهذه لا تحتوي على قالب ولا تطبيق , بل هيه مستقله بحد ذاتها وكل الاعمال سواء روت او غيرها ستكون محفوظه داخلها (مثل تنصيبك لتوزيعه معينه داخل الvirtualbox على سبيل المثال ستكون مستقله بحد ذاتها). وهذه يمكنك الحصول عليها اما عن طريق بنائها من توزيعه قالب template او تنصب توزيعه خارجيه مثل kali linux او gentoo او حتى windows …الخ.

:sparkle: النطاق صفر dom0:- كل ما عليك ان تعرفه منها , هو اذا وجد تحديثات فهذه التحديثات خاصه بتوزيعه Qubes مثلا تحديثات للkernel او لشكل الايقونات …الخ, كذلك تكون الطبقه العازله والمتحكمه بين العتاد والنظام.

:sparkle: اذا اردت ان تستزيد من هذه المصطلحات وتفصيل اكثر , تفضل بزياره:- ( رابط خدمات تور المخفيه هنا)

- الشرح:-

  • اذا ضغطنا على زر اضافه او انشاء اله افتراضيه ستظهر لك هذه الواجهه:-

qubes2

وفيها من الخيارات:

  • Name and label: اسم الاله الافتراضيه مع لون الطابع او لون التعليم على الاله الافتراضيه
  • Type: نوع الاله الافتراضيه التي تود انشائها:
    • AppVM: تطبيق الاله الافتراضيه (شرحت سابقا)
    • Standalone qube based on a template: وهذه تكون توزيعه تبنى من قالب اله افتراضيه مُنَصب , ولكن ستكون مستقره بحد ذاتها(اي لا تخضع بعد انشائها الى متغيرات القالب).
    • Standalone qube not based on a template: وهذه اذا اردت تنصيب توزيعه من ISO او CD/DVD (تسمى ايضا بHVM)
  • Networking: معناها من اين تاخذ هذه الاله الافتراضيه اتصالها من الانترنت هل من الانترنت العادي (مثلا باتصاله بsys-net) , هل باتصاله بتور (مثلا باتصاله بanon-sys) أو بVPN …الخ.
  • Advanced: خيارات اضافيه
    • Provide network: تستخدم هذا الخيار اذا اردت ان تكون الاله الافتراضيه تعمل كراوتر مثلا يكون فيها VPN او هونكس البوابه او I2P …الخ.
    • launch settings after creation: يقوم بفتح قائمه الاعدادات الخاصه بالاله الافتراضيه بعد ان يقوم بتكوينها.

  • اذا اردت ان تدخل فلاشه الى داخل التوزيعه فقم ب:-

qubes3

1- اضغط على ايقونه الفلاش بالزر الايمن (قد تجدها في الاعلى اذا قمت بتنصيب xfce).

2- ستظهر لك جميع انواع العتاد/الهاردوير المتصل بالحاسوب من مايكريفون او فلاش او هارد خارجي …الخ.

3- اختر من هذه القائمه اي توزيعه تود ان تدخل/توصل هذه الوصله.

ملاحظه:- هناك خيار اسمه Clone VM وفائدته بشكل مختصر هو استنساخ التوزيعه مع تغيير الMac Address الخاص بها.


  • لو اردنا مثلا فتح متصفح تور من هونكس اين نذهب؟ (انظر الى الصوره التي بالاسفل)

نقوم بالذهاب الى الايقونه الزرقاء اسفل الشاشه (في حاله كنت تستخدم KDE) ثم نذهب الى اسم اللاله الافتراضيه التي تحتوي على هونكس محطه العمل ونذهب الى متصفح تور الموضح في رقم 3.

ماذا تعني الارقام 2 و 4 ؟

:two: وهي DisposableVM وهي اله افتراضيه لا تقوم بحفظ اي عمل كان عند اغلاقك لها. وهذا يفيدك عند تنصيبك الاشياء الغير الامنه او التصفح الغير الامن او حتى فتح الملفات الغير الامنه او غير المتاكد من امنها …الخ.

:four: هذه ستراها عند كل اله افتراضيه وهيه امكانيه اضافه ايقونه لبرنامج او مجرى من داخل التوزيعه الى اللائحه التي تراها امامك. (لان التوزيعات التي ستكون على شكل templatevm او appvm لا تحتوي على واجهه رسوميه فلا يمكنك فتح الملفات الا عن طريق المختصرات shortcuts والسبب الرئيسي لذلك يرجع لمبدىء الانقساميه compartmentalization الذي شرح داخل الكتيب الذي زودته اعلاه).

اذا كنت تبحث عن كتابه امر او تغيير خصائص تخص توزيعه Qubes :point_down: (ثم اذهب الى الterminal او system settings …الخ)


تنصيب انظمه التشغيل داخل Qubes:-

راجع هذه القائمه بالنسبه لتوزيعات القالب:- (رابط خدمات تور المخفيه هنا)

- لتنصيب انظمه التشغيل من الcd-rom مثل نظام windows (الاوامر ستكون داخل dom0)

نقوم بكتابه هذا الامر لصنع HVM

qvm-create win7 --hvm --label green

اظن الامر واضح , سنطلب من الqvm بصنع

اسم الاله الافتراضيه:- win7

نوع الاله الافتراضيه:- HVM

لون الاله الافتراضيه:- green

(تستطيع طبعا تغيير اسم الاله ولونها بحسب رغبتك)

  • ملاحظه:- اذا ظهرت لك هذه الرساله:-

    libvirt.libvirtError: invalid argument: could not find capabilities for arch=x86_64

فيجب عليك ان تقوم بتشغيل خيار الVT-x من الbios

الان نقوم بالتنصيب داخل هذه الاله الافتراضيه التي صنعناها من الcdrom عن طريق هذا الامر

qvm-start win7 --cdrom=/dev/cdrom

ننتبه لكتابه اسم الاله الافتراضيه التي سينصب عليها وندوز.

  • ملاحظه:- تستطيع بطبيعه الحال زياده المساحه عن طريق الضغط بالزر الايمن على الHVM التي قمت بانشائها والضغط على VM Settings ثم زياده الرقم جنب الخانه Private storage max size.

- لتنصيب انظمه التشغيل من iso منزل داخل اله افتراضيه

نقوم كذلك بصنع hvm ولنفترض انه سيكون لتوزيعه ubuntu

qvm-create --hvm ubuntu --label red

ثم نقوم بتشغيل الاله الافتراضيه التي قمت بتنزيل الiso عليها (في حاله لم تشغلها) , ثم نكتب هذا الامر:-

qvm-start ubuntu --cdrom=work-web:/home/user/Downloads/ubuntu-12.10-desktop-i386.iso

والكود ايضا واضح:-

اسم الاله الافتراضيه التي تود ان ينصب عليها الايزو:- ubuntu

اسم الاله الافتراضيه التي يوجد عليها ملف الايزو:- work-web

موقع ملف الiso داخل الاله الافتراضيه التي نُزل عليها:- :/home/user/Downloads/ubuntu-12.10-desktop-i386.iso

وعلى هذا الاساس , غير ما يلزم تغييره بالنسبه للاسماء الالات الافتراضيه وكذلك موقع تنزيل الiso على حسب ما هو موجود عندك.

شرح التوزيعه الخبير الالكتروني والصحفي الشهير Micah Lee

Qubes OS: The Operating System That Can Protect You Even If You Get Hacked

(نظام التشغيل كيوبز: نظام التشغيل الذي يقوم بحمياتك حتى وان تعرضت للاختراف)


هل من طريقة لتجربة توزيعى Qubes OS
مشروع الحكومات العربيه للقضاء على الخصوصيه الشخصيه
فهرس تنصيب/شرح اشهر التوزيعات الحره والمفتوحه المصدر خطوه بخطوه
[مناقشة] لماذا توزيعتك ؟
صناعه وحفظ اقوى كلمات السر باستخدام KeePassXC
نبذه مختصره عن نظام التخفي هونكس Whonix OS
(ahmad) #2

ما شاء الله ابدعت بالشرح

رفع الله قدرك اخي


(revo) #3

بارك الله فيك موضوع قمة في الروعة والاهمية
لي سؤال من فضلك بما ان التوزيعة تتطلب 4 جيغا ذاكرة كحد ادنى لو اضفنا توزيعة او نظام ك هونيكس وغيره حتما سينحتاج الى زيادة الذاكرة؟


(ناصر المجهول) #4

اللهم امين واياكم

تخيلها بهذا الشكل:-

كيوبز مع 4 جيجا

نصبنا عليها هونكس واعطينا لكل من البوابه ومحطه العمل 1 جيجا رام

فالمتبقي لكيوبز هو 2 جيجا. (و 2 او حتى 1 جيجا كافي لتوزيعه كويبز).

ومثال اخر

مثلا قمت بتنثيب وندوز واعطيته 3 جيجا رام , فالمتبقي لكيوبز 1 جيجا.

وهكذا.

ملاحظه:- لا تنسى ان سعه الرامات ستستهلك فقط عند تشغيلك للاله الافتراضيه المطلوبه , واعني بذلك:-

لو اعطيت لوندوز 3 جيجا رام

واعطيت لهونكس 2 جيجا رام

والسعه الكليه للرامات 4 جيجا , فلا مشكله.

فقط عليك ان تطفىء واحده وتقوم بتشغيل الاخرى.

(اذا كانت لك خلفيه عن استخدام الالات الافتراضيه مثلا مع الvirtualbox ستفهم ما اقصد. في حاله لم تفهم ما اقصد فقط اذكر ذلك :wink:).


(revo) #5

بارك الله فيك على الرد والافادة وجازاك كل خير اخي الكريم :rose:


(mor) #7

جزاك الله خيرا اخي ، شرح فالمستوى تسلم اناملك .
عندي استفسار هل ادا ثبتت التوزيعة على جهاز مواصفاته :
RAM 2G
cpu intel 2duo
تعمل بكفاءة يعني ؟


(شفيق السويعدي) #8

السلام عليكم الى الأ خ اللذي يسأل عن مواصفات جهاز يمكن تثبيت التوزيعة Qubes عليه اخى كما تعلم فليس كل جهاز يمكن تثبيت هذه التوزيعة عليه فلذلك يرجى مراجعه هذه القائمه


أما بشأن إمكانية ثبتت التوزيعة على جهازك مواصفاته
RAM 2G
cpu intel 2duo
فلا مانع من التجربة وليكن في علمك ان موصفات جهازى لم اجده في قائمة الأ جهزة التى يمكن تنصيب هذه التوزيعة عليه ولكن تم التثبيت والحمد لله
وإليك مواصفاته
RAM 4G
cpu i3
من الجيل الرابع أعنى ال cpu
وهو يعمل بكفاءة
بالتوفيق أخى والسلام عليكم ورحمة الله وبركاته