Hadmut Danisch
Ansichten eines Informatikers

Qubes OS

Hadmut
13.10.2025 17:41
Uncategorized

Ein Leser fragt an:

Eine Bitte, bitte bitte!

Sehr ggehrter Herr Danissch!

Ich hätte da eine Bitte an Sie, und zwar geht es um Ihr Spezialgebiet, IT-Sicherheit. […]

Nun zu meiner Frage: Ich habe einen mittlerweile in die Jahre gekommenen Mini-PC, möchte aber aus Gründen der Sicherheit und Wahrung meiner Privatsphäre gerne mal mit Qubes OS rumexperimentieren, wofür mein derzeitiger PC bestimmt zu schwach ist. Nun findet man ja auf der Webseite von Qubes OS ja einige Informationen über die Hardware-Anforderungen und es gibt offensichtlich Hardware, die von den Jungs zertifiziert ist. Ich will mir aber kein Notebook oder großen PC mehr zulegen, sondern etwas kompakteres und aus diversen Gründen am liebsten ohne WLAN oder Bluetooth, das ich sowieso nicht brauche. Deshalb interessierte ich mich zuerst für den NitroPC 2 von Nitrokey, der allerdings nicht von Qubes zertifiziert ist. Alternativen gibt es auch nicht viel (Librem mini v2, ist aber “out of stock”, NUC Box coreboot mini PC etc.) aber ich frage mich, ob deaktivierte Intel ME und Coreboot usw. überhaupt etwas bringen, die Gegenseite schläft ja nicht und hat vermutlich Gegenmaßnahmen ergriffen.

Dann sind diese Mini-PCs häufig nervig wegen dem lauten Lüftergeräusch und nun bin ich am überlegen, ob ich mir etwas leistungsfähigeres mit ausreichend Speicher zulege, beispielsweise den Barebone Shuttle XPC slim DS50U5 und dann Qubes selbst installiere und mich in Ruhe einarbeite.

Zu allem Überfluss habe ich auch noch die Befürchtung, daß es in naher Zukunft sinnfrei wird, sich im Web zu bewegen, da man für jeden Scheiß eine eID oder sowas benötigt und man sowieso an keine validen Informationen mehr rankommt.

Vielleicht sollte ich gar keinen PC kaufen und solange es geht, mit meinem Mini-PC weitermachen, ich bin mir da auch nicht sicher.

Deshalb würde ich gerne von Ihnen wissen, wie Sie das sehen und ob es überhaupt Sinn macht, mit Qubes oder beispielsweise virtuellen Maschinen mit LVM rumzuspielen.

Für eine kurze Auskunft wäre ich Ihnen sehr dankbar!

Uff.

Qubes OS ist toll. Und vom Prinzip her sehr gut.

Aber: Qubes OS ist auch nur von ein paar Leuten mit begrenztem Zeitbudget als Hobbyarbeit gemacht, deshalb knirscht und knarzt es da immer wieder mal, weshalb es überhaupt nichts für Leute ist, die in Linux-Administration nicht fit sind.

Das ist nichts für Anfänger, und wenn ich jetzt zynisch wäre, würde ich – trotzdem wohlmeinend – sagen, dass Qubes OS nichts für Leute ist, die mich fragen müssen, ob Qubes OS etwas für sie ist, weil man dabei schon ziemlich viel von Virtualisierung, Hardware, Systemzusammenhängen verstanden haben muss, um das selbst zu betreiben, und manche Dinge sind da auch nicht einfach, wie die automatische Konfiguration, zumal man das System ja auch nicht allzu oft upgrade sondern gelegentlich backupen und mit neuen Versionen neu installieren und wieder reinladen soll.

Das ist auch eigentlich kein Ersatz für den normalen Desktop, sondern ein Ding für besondere vertrauliche Tätigkeiten wie Administration oder vertrauliche Kommunikation. Die macht es dann aber auch nicht von selbst, sondern liefert nur den Unterbau, man muss also schon sehr gut wissen, was man damit überhaupt machen will, und wirklich fit entweder in Fedora oder Debian sein (es unterstützt beide Systeme zur Wahl).

Allerdings läuft Qubes OS nicht auf jedem Rechner, weil das besondere Prozessor-Erweiterungen braucht. Ich weiß jetzt gerade nicht auswendig, wie die heißen, aber es geht darum, dass nicht nur (wie auf vielen Prozessoren schon lange) der Prozessor selbst, sondern auch die Hardware wie PCI usw. virtualisiert und den virtuellen Maschinen zugeteilt werden kann. Ich habe einige Rechner, auf denen Qubes OS deshalb gar nicht erst läuft. Früher war das sehr ärgerlich, weil Qubes recht lange für eine Installation braucht und dann erst ganz am Ende, wenn es laufen sollte, sagte „Pech gehabt, läuft nicht auf diesem Prozessor …“, während inzwischen schon die Installationsroutine warnt, wenn der Prozessor dazu nicht taugt.

Weil man unter Qubes (Unterbau ist XEN) relativ viele virtuelle Maschinen laufen hat, würde ich so aus ersten Erfahrungen heraus sagen, dass man unter 4 Prozessorkernen und 16GB RAM zum Testen, eher 32GB für Produktivsysteme gar nicht erst anzufangen braucht, es sei denn, man macht wirklich kleine Dinge wie Administrationsaufgäbchen und will nur ein paar vertrauliche Dinge oder Zugangsschlüssel verwalten. Oder vertraulich im Web surfen.

Meine Empfehlung ist daher, gerade weil das nicht wie ein normaler Linux-Desktop zu bedienen ist, sondern etwas Spezialwissen und -verständnis erfordert der:

Fangt billig an. Sucht Euch einen gebrauchten Notebook oder alten Rechner, aber nicht zu alt, damit der Prozessor taugt (z. B. habe ich Celerons aus der 5000er Serie, von denen ältere nicht taugen, neuere aber doch, weil sie die Erweiterung haben, das ist so ungefähr die Grenze), 16GB RAM, nur notfalls 8GB, und spielt erst einmal damit rum. Nicht produktiv, sondern zum Rumspielen und Verstehen. Man kann das System nämlich auch schrotten, wenn man da Fehler beim Update macht. Um das Ding zu verstehen, reicht eine ältere Lusche allemal, sofern sich QubesOS ohne Fehlermeldung installieren lässt, und die Hardware unterstützt wird (ich habe einen Rechner, bei dem der WLAN Adapter unter Qubes nicht zu gebrauchen ist).

Und dann spielt Ihr so lange damit herum und installiert testweise Software, bis Ihr das Konzept und den Gebrauch von Qubes OS so weit verstanden habt, und das alles so weit beherrscht, dass Ihr mich gar nicht mehr fragen müsst. Und dann wisst Ihr, ob das was für Euch ist, und welche Art von Rechner Ihr dafür braucht.

Qubes OS ist wirklich nichts für Anfänger. Man muss einiges über Linux und Virtualisierung wissen, um damit ordentlich umgehen zu können.

Denn nur dann, wenn man damit ordentlich umgehen und das richtig einsetzen kann und verstanden hat, bietet es auch die Sicherheitsvorteile.

Also: Für ein Testsystem, mit dem man erst einmal rumprobiert und übt und lernt, und auf dem man deshalb noch keine wichtigen oder vertraulichen Produktivdaten hat, und die man dann auch mal neu installiert, reicht eigentlich jede Lusche mit geschätzt ab 4 Kernen und meiner Ansicht nach 16 GB RAM (notfalls 8), sofern sich Qubes OS darauf installieren lässt und sich nicht über fehlende Prozessorerweiterungen beklagt.

Alles andere hängt davon ab, was Ihr dann damit machen wollt. Dann könnt Ihr Euch immer noch einen Extrarechner dafür kaufen. Erst einmal lernen, damit umzugehen, und herausfinden, ob man damit überhaupt klarkommt und das etwas für einen und die geplante Anwendung ist.