Qubes теперь является опцией предустановки для Librem 14 и Mini

qubesтеперьявляетсяопциейпредустановкидляlibrem14иmini

Хотя мы по умолчанию используем собственную PureOS на нашем оборудовании, мы также поддерживаем QubesOS с высоким уровнем безопасности на оборудовании Purism с момента выпуска Librem 13 v1 стала первым аппаратным обеспечением, официально поддерживаемым проектом Qubes. С тех пор мы продолжаем относиться к Qubes как к первоклассному гражданину и гарантируем, что он хорошо работает на новых итерациях нашего оборудования, вплоть до наших текущих Librem Mini и Librem 14, который, по нашему мнению, является лучшим ноутбуком для работы с Qubes . Мы рады сообщить, что эта поддержка теперь распространяется на предварительную установку Qubes на Librem Mini и Либрем 14 , для любого клиента, который выберет его в качестве своей ОС.

До этого момента клиенты, которые хотели использовать Qubes, выбирали установочный диск Qubes USB в раскрывающемся списке. вниз, когда они разместят заказ, и мы отправим им надежный установочный диск Qubes, совместимый с их оборудованием, который они смогут установить сами. Это было связано с тем, что Qubes не включал режим «OEM-установки», как у нас с PureOS, который позволяет нам предварительно установить ОС с пустым ключом шифрования диска, что позволяет клиенту легко выбрать парольную фразу для разблокировки диска при первой загрузке. -to-use wizard.

В результате, раньше, если бы мы предварительно устанавливали Qubes, нам приходилось бы просить клиента выбрать парольную фразу и установить ее для них вручную или установите слабую парольную фразу по умолчанию и проведите каждого клиента через параметры командной строки, чтобы изменить ее. Это был не тот подход, который мы хотели использовать, поэтому до сих пор клиентам, которые хотели запускать Qubes на оборудовании Purism, приходилось устанавливать его самостоятельно.

Так что же изменилось? Во-первых, Nitrokey заложила основу , создав и опубликовав версию Qubes «OEM install» для своего собственного оборудования. Это автоматизирует установку Qubes с помощью кикстарта, так что при загрузке с установочного диска он стирает диск и устанавливает Qubes автоматически. Это сработало хорошо, но, к сожалению, все еще не было нашего ключевого требования, чтобы использовать его самостоятельно: разрешить пользователю изменять кодовую фразу разблокировки диска при первой загрузке. Вместо этого он просто устанавливает парольную фразу для разблокировки диска в стиле «changeme», чтобы клиент мог позже изменить ее с помощью инструмента командной строки cryptsetup.

Мы создали нисходящий форк проекта Nitrokey и приступили к добавлению возможности изменения парольной фразы разблокировки диска при первой загрузке в том же мастере, который Qubes уже использует для настройки системы. ВМ и пользователь. К сожалению, из-за того, как работают надстройки anaconda, и из-за того, что OEM-проект изменяет официальный установщик в пост-установочной области кикстарта, мы не смогли этого сделать, добавив новую надстройку. Программа установки anaconda просто игнорирует любые надстройки, которые вы добавляете после установки в процессе установки. Вместо этого нам пришлось изменить существующую надстройку пользователя на диске и добавить дополнительные поля для парольных фраз и внутренних обработчиков, чтобы изменить значение по умолчанию ( пусто) кодовую фразу с тем, что выбирает пользователь.

Теперь, когда у нас есть работающая OEM-установка Qubes, соответствующая нашим требованиям, мы предлагаем Qubes в качестве опции предварительной установки. на Librem Mini и Librem 14. Клиенты, которые выберут это, получат компьютер с установленным Qubes и смогут установить свою собственную парольную фразу как часть мастера начальной первой загрузки.

У нас также есть отправили pull request с вышестоящим проектом Nitrokey на случай, если они захотят включить наши изменения в краткосрочной перспективе. Непосредственное изменение пользовательской надстройки было необходимо с учетом обстоятельств, но не идеально в долгосрочной перспективе. Идеальным долгосрочным подходом было бы, чтобы эта функциональность стала надлежащим, отдельным надстройка в самом Qubes вместо части надстройки пользователя.

Тем не менее, этот твик работает достаточно хорошо, чтобы позволить нам выпускать Qubes предустановлен, поэтому, если вы хотите опробовать Qubes при следующем заказе Purism, обязательно выберите его при настройке компьютера. Комбинация Либрем 14 функции безопасности оборудования , безопасность микропрограмм с помощью PureBoot , безопасность цепочки поставок с помощью службы защиты от запретов , а безопасность ОС с помощью Qubes делает его самым безопасным ноутбуком, который вы можете купить.


Продукты Purism и таблица их наличия

Текущий продукт и карта доставки продуктов Purism Librem