Qubes Linuxは、データ保護のためのタスク分離という独自の特徴により、最も安全なLinuxディストリビューションの一つですが、すべての人に適しているとは限りません。高いハードウェア要件、難しいセットアップ、そして複雑なユーザーエクスペリエンスのため、使いやすいディストリビューションを探している方や、技術的な専門知識が不足している方にとっては、難しい選択となる可能性があります。この記事では、デバイスへのQubesのインストールを再検討すべき主な理由を検証し、Qubesが適切な選択なのか、それともよりシンプルなディストリビューションを検討すべきなのかを判断します。
新しいディストリビューションを選ぶのは大変な作業ですし、複雑なディストリビューションをインストールするのもストレスがたまることがあります。不適切なハードウェアに多額の費用を費やしたり、専門用語を深く理解したりするのが面倒だと感じるなら、Qubesはあなたには向いていないかもしれません。
家電製品を選ぶのは歯を抜くようなものです。
最初のハードルはハードウェアの選択です。QubesはVT-x、VT-D、IOMMU、SLATといった特定のテクノロジーに依存しています。これらのテクノロジーは現代のコンピュータでは一般的ですが、IOMMUクラスタ(後述)やコストといった他の要件との両立は困難です。
コストについて言えば、誰もがノートパソコンに何千ドルも費やすわけではありません。また、要件が特殊であればあるほど、価格も高くなります。しかし、中古品でも構わないのであれば、手頃な価格のデバイスを見つけるのは簡単です。
IOMMU グループは難しく、文書化されていません。
IOMMUは、QubesがPCIデバイスを仮想マシン(VM)に直接マッピングできるようにするテクノロジーです。簡単に言えば、デバイスの周囲に仮想的な境界を設定するものです。例えば、ネットワークカードを仮想マシンに直接マッピングすることで、2つのデバイス間の直接的なやり取りが可能になり、安全な分離が実現します。ただし、IOMMUクラスタという重要な制限が1つあります。
IOMMUグループは、PCIデバイスをグループ化したものです。オペレーティングシステムはIOMMUグループを単一のユニットとして扱います。IOMMUグループ内のデバイスは、同じデフォルトデバイスに割り当てる必要があります。ただし、マザーボードによってグループ化の方法が異なります。
厄介な問題は、マザーボードメーカーがこれらのグループの設定方法をドキュメント化していないことです。グループがどのように構成されるかを事前に把握できないため、デバイスの選択が非常に困難になります。よくある問題は、グループの割り当てが難しいことです。例えば、USBポートとネットワークカードは同じグループを共有しています。Qubesはこれを認識し、必要に応じてUSBポートとネットワークカードを同じ仮想マシンに割り当てるインストールオプションを提供しています。
幸いなことに、 Qubesのハードウェア互換性リストは包括的であり、 デバイスを購入する前に何を期待すべきかについての注意事項がいくつか提供されています。
メモリは常に限られています。
通常、USBドライブ、ネットワークドライブ(NetVM)、ファイアウォールドライブ、そして場合によってはVPNドライブなど、様々なタスクに2~4個の仮想ボリューム(VM)を使用します。これらのVMはそれぞれ、16GBのRAMをベースラインとして必要とします。ブラウザを数個、アプリを16~XNUMX個追加するだけで、RAM使用量はすぐにXNUMXGBを超えてしまいます。古いノートパソコンの多くはXNUMXGB未満しかサポートしていないため、メモリ使用量を制御するためにVMを停止・起動する必要があるかもしれません。
少なくとも16GBのRAMを推奨しますが、可能であれば32GB、予算に余裕があれば64GB以上をお勧めします。RAMは大量購入になると高価で、32GBになると数百ドルもするため、ほとんどの人が喜んで払える金額ではありません。しかし、最近のコンピューターのメモリ消費量を考えると、XNUMXGBのRAMが新たな標準になる時が来ていると言えるでしょう。
USBキーボードはセキュリティリスクになる
セキュリティ上の理由から、USBキーボードはUSBハブに接続する必要があります。USBハブはdom0と通信できません。dom0は他のすべての仮想マシンを制御する管理仮想マシンです。dom0は命をかけて守らなければなりません。USBハブを含め、いかなるものもdomXNUMXと通信してはいけません。
では、どうすればいいでしょうか?PS/2キーボードを使うのです!しかし、誰もがこれを望んでいるわけではありません。この場合、専用のUSBスピーカーキーボードはほとんどのAppVM(日常的なアプリケーションを実行する仮想マシン)では動作しますが、dom0では動作しません。これは大きな問題です。その結果、非常に厄介な問題が発生します。イライラしてUSBキーボードをdom0に直接接続する人もいるかもしれませんが、これは絶対に避けるべきです。なぜなら、セキュリティが侵害されたキーボードがdomXNUMXを攻撃する可能性があるからです。
さらに厄介なことに、一部のノートパソコンのキーボードは内部USB接続に依存しており、ハードウェアの故障やセキュリティリスクにつながる可能性があります。ノートパソコンの適切なパフォーマンスに不安や不安がある場合は、ハードウェア互換性リストで注意事項をご確認ください。
GPU サポートが不足しているため、選択肢が制限されます。
2025年以降、Qubes上のVMはGPUアクセラレーションを利用できなくなります。理由は、GPUがビデオRAMの内容(VMとdom0)を適切に分離できないためです。可能性は低いものの、VMが機密性の高いdom0情報を読み取る可能性はあります。
さらに、GPUを1つのデバイスにのみ割り当てることもできます。どのデバイスを選ぶべきでしょうか?すべてのブラウザはGPUアクセラレーションを必要としており、多くのアプリケーション、ユーティリティ、コンポーネントも同様です。今日のコンピューターは、Ollamaを使用して自宅でチャットボットをインストールして実行するなど、AIワークロードの処理もますます増えています。GPUアクセラレーションがないため、Qubesはほとんどのユーザーにとって不便です。
明るい面としては、QubesチームがVirtIOネイティブコンテキストと呼ばれる技術を用いた仮想GPUアクセラレーションの実装に着手しました。この技術は、ネイティブに近いパフォーマンスですべての仮想マシン間でGPUアクセラレーションを共有するものです。GPUアクセラレーションは2027年頃(あるいは2037年頃。ご存知の通りです)に実現すると予想しています。
バッテリー寿命はゼロ
Qubes は GPU アクセラレーションがないため、すべてをソフトウェアベースで処理します。ソフトウェア処理は効率が悪く、より効率的な GPU よりもバッテリーの消耗が早くなります。
複数の仮想マシンが同時に実行され、それぞれが重複した一連の操作を実行するため、オーバーヘッドが発生します。これらの操作はそれぞれ、貴重なCPU時間とバッテリー電力を消費します。
これまで気づいていたかどうかは分かりませんが、Alacrittyのようなワークステーションはアイドル時にCPUを1%から2%ほど消費することがよくあります。ワークステーションを複数の仮想マシンで開くと、それらすべてが電力を消費することになります。システム監視ツールは頻繁に更新されるため、この問題を悪化させます。さらに、リソースを大量に消費するブラウザやウェブサイトも混在しているため、何もしていないときにCPU使用率が20%や50%まで低下することがよくあります。リソースを大量に消費するプロセスを追跡するのは、標準的なLinuxでは私にとっては儀式のような作業ですが、QubesではそのXNUMX倍の労力がかかります。
つまり、仮想マシンは大量の電力を消費し、バッテリー寿命に悪影響を及ぼします。
厳しい学習曲線:技術的な知識が必要
Qubes を学習するには、AppVM、TemplateVM、DispVM、DispVM テンプレート、dom0、domU といった様々なコンポーネントを理解する必要があります。これらのコンポーネント(スコープ)がどのように動作し、相互作用するかを理解することが重要です。各スコープには明確なユースケースがあり、例えば、テンプレートにアップデートや設定変更を適用できます。スコープ間の相互作用を理解していないと、設定が消えたり、アップデートが反映されなかったりする理由が分からず混乱する可能性があります。
さらに、RPCシステムはドメイン間の通信を制御します。これは基本的なシステムですが、経験の浅いユーザーには設定方法や使い方が理解できないかもしれません。
学習曲線の難しさには、前述のすべてが含まれます。IOMMUや必要なハードウェアなどについて学ばなければ、誤った判断を下すことになります。すべてを事前に学ぶのは、ほとんどの人にとって負担が大きすぎます。Qubesは専門的な技術知識を必要とします。
Qubesは大好きで、もう10年近く使っていますが、万人向けではありません。シンプルなオペレーティングシステムを求める人もいます。
Qubes は次の 2 つのタイプの人に適しています。
- 失うものがたくさんある人たち。
- セキュリティを重視する技術オタク。
すべての技術オタクがこのような複雑なシステムを学びたいわけではありませんが、そうでない人にとっては非常に魅力的です。もしあなたがこの魅力を感じたら、 Qubes インストール ガイドを参照してください。さもないと、 したがって、別の適切なディストリビューションを探してください。
自分に合ったディストリビューションを選ぶには、セキュリティ要件と使いやすさのバランスが重要です。Qubesが複雑すぎる、またはシステムに必要なリソースよりも多くのリソースを必要とする場合は、よりシンプルなディストリビューションの方が良い選択肢かもしれません。Qubes、あるいは現在検討中の他のディストリビューションに関するご経験やご質問を、コメント欄で共有してください。
