(See the English version here )
Qubes4.0 on Lenovo X250
Qubes OSを、Lenovo Thinkpad X250にインストールしてみたので、ご報告。
2019年7月、ちょうどエドワード・スノーデン の自伝を訳し終えた。
prtimes.jp
もちろんこういうのを読むとパラノイアになる。なんでもNSAの陰謀に思え、パソコンのカメラにはテープを貼る。一方で、パスワードマネージャを使ったり、メールをPGPで暗号化はしないまでも(だって受ける側が使ってないから)署名くらいはするようにした 。
そして、スノーデンがこの本でも推奨しているQubes も見てみることにした。
Qubes のインストールガイドは、本家のドキュメンテーション も含め、ないわけじゃない。でもかなり専門的で特殊といえば特殊なOSで、いまのところインストールしようという人は、それなりに「わかった」人で、各種ガイドもそれ相応に専門的だ。ぼくは昔からLinux とかいじってはいるけれど、最近はご無沙汰だし、それにQubesはLinux をベースにしつつも、根本のところでかなりちがう考え方をする。そうした部分についての情報はあちこちバラバラで、見つけるのも一苦労だし、書きぶりもむずかしい。あのバージョンではこうだがこのバージョンではこうで、ああいうやり方もあればこんな考え方もあり……
そこで、まずは自分でやってみて、その過程をざっと述べることで、あまり知らない人がとりあえず使えるところまで持って行けるようにしたいなと思って、これを自分のメモも兼ねて作ってみた。
0. はじめに
Qubes OS と言っても知らない人がほとんどだろう。本家のサイトを見てね、と言いたいところだけれど……
www.qubes-os.org
基本的には、高セキュリティのオペレーティングシステム となる。ただしセキュリティを謳う他のOS、たとえばOpenBSD などとは根本的に考え方がちがう。
ほとんどのOSは、様々な活動が全部ごっちゃになっている。同じブラウザでネットバンキングをやった直後にいかがわしいインチキサイトにでかけ、仕事で部外秘の資料を作ったワードやエクセルで詐欺メールの添付ファイルを開く。だから、インチキサイトのブラクラ でネットバンキングのパスワードを抜かれたりするし、部外秘の書類がいつの間にか流出したりする。さらにどこかでウィルスを拾ってきたりしたら、それはシステム全体にすぐ広がり、コンピュータ全体がやられ、それが社内すべてに広がり……
Qubesは、こうした各種の活動を完全に切り離す。各種の作業、たとえばシステム、利用者の仕事、遊び、怪しいものを分けて、それがお互いにアクセスできないようにしている。具体的には、それぞれの活動について、バーチャルマシン (VM ) を作り、完全に仕切っている。だからウィルスに感染しても、それは外に広がらない。そのVM を消せばおしまいだ。そして外部とのアクセスや内部のプロセス通信には、必要とあらばTorを使い、各種のトラフィック がどこから来たか追跡されないようにしている。使われているWhonixとかはまだ勉強不足でぜんぜんわからないけど。でも全体として従来のOSとはかなりちがう考え方で、なかなかおもしろい。
というわけで、いじってみることにした。手元に Lenovo X250 が転がっていて、ハードの要件を見ると、使えそうだし、すでにインストール実績もある模様。
0.1 Qubes はむずかしいか? Linux 経験は必要化?
いる。少なくとも、ある程度は。
Qubes の各種 FAQ や掲示 板を見ると、「簡単だよ」「だれでもインストールできるよ」「Linux 経験なんか不要だよ」みたいなことが書いてある。そりゃ言われた通りにやって何も問題が起きなければ、経験のない人でもインストールできるだろう。またウェブブラウザが使えればいい、何も入力しない、という人なら確かに未経験者でも問題ない。
でもインストールで問題が起きたら、トラブルシュートが必要だ。何かアプリケーションを追加したければ、そのために rpm とか deb とかの何たるかと、その扱い方はいるだろう。QubesはLinux のFedora とDebian をベースにしているけれど、各種ドキュメンテーション はFedora って何かも説明しないし、まして yum /dnf や apt についても、いきなり出てくるだけ。
ブラウザのFirefox とかTorとか、メールソフト (Thunderbird ) はある。でもどっかにアイコンがあるわけではなく、インストール済みのものですらコマンドライン からソフト名をタイプして呼び出さないといけない。完全な初心者にも使えますよ、というのはちょっと話を盛りすぎだと思う。
0.2 Qubesを走らせるのに必要なマシンは?
ぼくも X250 (i5, 8GB RAM, 500GB SSD ) で使っただけだけれど、このくらいが使い物になる最低限じゃないかな。特に画面サイズは、ぼくは大画面になれすぎているのでX250 の 12.5インチ 1366 x 786 LCD は、ちょっとつらい感じだ。
Qubes のサイトには ハード要件 と、 ハードウェア実績リスト があり、Qubesインストールに成功した各種マシンが報告されている。ただ、インストールに成功したというのと、それが実際に使えるというのとは、話がかなりちがう。
もともと手持ちの X250 は、8GB RAM, 500GB HDDだった。これだとかなり遅い。Qubes は仮想マシン (VM )を使う。VMWare や Pararelles 上のOSでソフトを走らせるようなものだ。オーバーヘッドがかなりあるし、CPUもいる。さらにディスクアクセスも多い。HDDのときには、新しいソフトを別のドメイン (VM ) で開こうとすると、すさまじい時間がかかり、実際にそのアプリが開いた頃には、何をしようとしていたのかも忘れているほどだった。
SSD にしたらこれはずいぶん改善された。サクサクとまではいかないけれど、別のVM 上でアプリを開いても、何をする気か覚えている間には立ち上がる。最近はSSD も安いし、これに交換したらQubesの評価は激増した。
たぶんRAMを16GBにするのも効くだろうけど、16GB びSODIMM DDR3L PC3L-12800 (X250はメモリスロットが一つしかない) はやたらに高くて、中古の X250がもう一台買えそうなほど。ちょっとそこまでするのは本末転倒に思えた。
さて何より画面サイズ。Qubes は複数のドメイン (VM )を使い、そのそれぞれはまったく別個の世界なので、仕事用、遊び用、私用それぞれで別々にブラウザを開き、別々にメーラー も開き、ヘタすると別々にオフィススイート開くことになる。それがそもそもの狙いではあるけれど、同時にまちがいなくふつうよりウィンドウの数は増え、デスクトップもごちゃごちゃになる。12.5インチだと、ちょっと小さいかなあ。
Qubes のページにはお墨付きの推奨マシン があるけれど、これはX230だ。i7, 16GB RAM, SSD という構成。小さい画面を除けば、これでかなり本格的に使えるということね。 X230 をベースしたのは、RAM増設も簡単で安上がりだし、各種の改造も簡単だし(X250のキーボードを換えたときは死ぬかと思った )、ということなんだろう。昔のIBM /レノボ はよいマシンを作りました。そしてもう一つ、BIOS を完全に狂ったようなセキュリティのオープンソース 版Heads Open source firmware と入れ替えられるのがあるようだ。これはおもしろそうだけど……別の機会に譲ろう。
1. まずは準備から
まだウィンドウズ環境にいる間に、BIOS やチップセット のファームウェア を最新版にしておくほうがいいとは思う。Windows Update ではなく、Lenovo の行進ユーティリティを使うか、以下で最新アップデートを見ておこう。
pcsupport.lenovo.com
もちろん後からLinux やQubesからBIOS 更新もできるけれどちょっと面倒ではある。とはいえ、BIOS を更新してもインストールが楽になるわけではないので念のため。
1.2 起動インストール用USBメモリ を作る
まず Qubes4.0のISOイメージ をダウンロードして、 balenaEtcher などの書き込みソフトでUSBメモリ に書き込もう。他にもいろいろ書き込みソフトはあるので、何でもいいはず……だけれど、ぼくがやったときは手持ちのEtcherの古いバージョンでうまくいかず、ちょっと苦労した。この段階で問題があるなら、ソフトが最新版か見ておくのも吉かもしれない。
Etcher (mac 版) の書き込みウィンドウだけれど、まあ使い方はすぐわかるはず。左から、isoイメージを選び、書き込み先を選んで、書き込めというだけ。
qubes iso を Etcherでusb ドライブに書き込み
2. BIOS の設定を変える
では X250を再起動しよう。
ロゴが見えたら Enter (リターン) を押して、スタートアップメニューに移ろう。
ここでは F1 を押して BIOS 設定画面に入る。
2.1 Secure Bootを無効に
まずUSBから起動できるようにする。矢印キー <-- -->でてっぺんのメニューを移動し、「Security」を選ぼう。
その中でいちばん下の「Secure Boot」を選び、 Disabled にしよう。
ESC で戻る。
2.2 ハードウェアによる仮想化を有効に
QubesはVM の切り替えにメモリ仮想化を使う。これをハードでできると高速だ。「Security」メニューから「virtualization」を選び、どっちも Enabled にする。
ESC で戻る。
2.3 security chip (TPM ) の設定を見る
Qubesは内蔵のセキュリティチップのTPM 1.2 モードの機能を使うので「Security」メニューの「Security Chip」を見てTPM が TPM 1.2 モードか確認しておこう。「Discreet ナントカ」になっていれば大丈夫なはず。
2.4 BIOS はおしまい!
BIOS 設定は完了なので、保存終了のため F10 を押す。
3. インストール
3.1 USB ドライブから起動
さっきISOを焼いたUSBメモリ を差し込んで、X250を起動しよう。またロゴのところで Enter(リターン)を押し、 F12を押して起動先一覧を出して、USB メモリを選ぼう。
するとすごく小さい字の行がびっしり出てくる。インストーラ ーが動いているので、30秒ほど待とう。
3.2 インストール設定
画面がGUI になり、インストールで使う言語を選ぶところにくる。
好きな言語を選ぼう。日本語でまったく問題ない。すると、インストールの準備画面にやってくる。
「Installation Destination 」についてる、ビックリマークを始末しよう。そこをクリックして欲しい。
写真がひどいのは堪忍。ここでは、ディスクを丸ごとQubesにするので、それまで入っている中身は全部消す。デュアルブート も可能なのかもしれないが、QubesのようなOSでそれをやる意味があるのか不明だし、最近のHDDやSSD は安い。ケチってどうなりますか。だからここでは「Automatically configure partitioning」を選び「I would like to make additional space available」にもチェックを入れる (日本語ではどういう表記になっているか未確認)。つまりそれまでのディスクの中身は全部消える。てっぺん左の「Done」を押そう。
するとディスク構成が表示され。消していいか聞いてくる。よほど理由がない限り、右端にある「Delete All」をクリックし、左下の「Reclaim space」をクリックしよう。
すると、ディスク暗号化パスワードを聞かれる。強い好きなパスワードを選んで、忘れないように!
するとさっきのページに戻ってくる。ついでに、日時と、追加の言語を足しておこう。時間は後で変えるのが面倒だ。それと、Torは接続のときの暗号化で時間データを使うので、システムの時計が30分以上ずれていると、接続できなくなってしまう。だから、時間帯と、そして画面左下にある時計は、きっちりあわせておこう。
時間設定の画面
言語の追加は、何をするのかよくわからない。日本語入力とかも面倒みてくれるかと思ったけど、そうでもない。フォントやメッセージの日本語訳を入れてくれるのかな? が、どうせついでだからやっておこう。
これで完了。「Begin Installation」をクリックしよう。
3.3 待ってる間にユーザアカウントを作ろう
インストールが始まるけれど、結構時間がかかる。とはいっても、かつてのカーネル 再コンパイル ほどではないけれど。
この間に、この画面になるので、管理者のアカウントとパスワードを作っておこう。右側のビックリマークつきのやつをクリックする。なお、ユーザはこの一人だけになる。後で足したりできない。だからあまり気取った名前にしないほうが後々恥ずかしくないかも。
さてこのまま5分くらいかかって、インストールが終わったという表示が出る。でもここで再起動してはいけない! 次をやっておかないと立ち上がらなくなる。
3.4 xen .cfg の編集
各種の報告を見ると、X250で何もいじらなくても最後までいったという人もいる。でも問題があったという人もいる。いろいろ細かい字で表示が出ていきなり画面が暗くなり……それっきり。
これは BIOS 1.27 と 1.34の両方で起きた。
先に進むには、設定ファイルに加筆が必要だ。説明はここに出ているけれど、いろいろある中に埋もれている ので見つけにくい。必要なところだけ説明しよう。
Ctrl-Alt-F2 を押す。ちなみにここでF2を押すためには、左下のFnキーを押さねばならないから、実際には「Ctrl-Alt-Fn-F2」になる (こういう細かいところが結構引っかかる)。すると tty コンソールになる。
/mnt/sysimage/boot/efi /EFI /qubes/xen .cfg を、あの (うひゃー) vi エディタで編集しよう。viなんて最後に使ったのは前世紀じゃないかな。
まず、以下をタイプして vi で問題のファイルを開こう;
vi /mnt/sysimage/boot/efi /EFI /qubes/xen .cfg
ファイルは開いてカーソルは動くけれど、何も追加できないはずだ。
「i」をタイプすると、インサートモードになって字が入力できる。
以下の2行をファイルの最後に加筆しよう。
mapbs=1
noexitboot=1
ESC キーを押して、viコマンドモードに戻ろう。
ファイルを保存して vi 終了には、次を入れる。
:wq
これでコンソールに戻ったので「reboot」とタイプしてシステムを再起動させよう。
4. 再起動の後で
4.1 インストール後初回の設定
再起動すると、なんか細かい字が出てきて、しばらく画面が暗転して考えた挙げ句、ペンギンTux が何匹か出てくるはず。さらにいろいろ表示は続く。
そして画面が暗くなり、Qubes のロゴが出て、ディスク暗号化のパスワードをきいてくるから、入力しよう。
すると、この初回設定画面にくるはず。
ビックリマークつきの「Qubes OS」をクリックしよう。こんな画面になるはず。
ここで何を聞かれているかわかるなら、こんなガイドを見る必要はないはず。そのままにして先を続けさせよう。さっきの画面に戻ってから、インストールがさらに5分くらいは続く。そしてさっきの画面に戻ってくる。ここで、「QUBES OS」をクリックすると、またさっきの設定画面に戻ってしまうので、右下の赤で囲んだ「FINISH CONFIGURATION」をクリックしよう。
ログイン画面にきたかな?
作成したアカウントのパスワードを入力。これでインストール完了だ。
4.2 ログイン後
Qubesへようこそ……でも、最初の画面にはほとんど何もない。そのままの画面を撮るのもなんだから、メニューを少し出してみた。
他のOSを使った人なら、ubuntu などのLinux 系のものでさえ、もっといろいろアイコンとか設定パネルとかがあるのに慣れている。アプリももっといろいろ出ている。確かにメニューを見ると、ブラウザはあるみたいだ。ターミナルを開いてコマンドを入れてみたりできるし、「gedit」とかアプリ名をタイプしたら、起動するものもある。でも日本語入力もできず、他のソフトも使えない。
が、まずはいろいろ確認から。画面の明るさや音量はキーボードから変えられるはずだ。キーボードのバックライトも使えるはず。ではネットにつないでみよう。Wifi でもイーサネット でもいい。画面上右のタスクバーにいろいろアイコンが固まっているので、赤いのをクリックするとwifi を選んだりできる。ちゃんとつながるか確認しよう。USBやSDスロットも、何か差すとなんか言ってくる。ウェブブラウザを開いて YouTube でも見てみよう。動画も音声も出るはずだ。
内蔵カメラと指紋センサは、なんか使えないくさいように思える。が、ご心配なく。あとでやります。それにいまはそんなに重要じゃない。
4.2.1 新しいユーザは追加できない
管理者としてログインしているので、一般にLinux やBSD を使ってきた人なら、一般ユーザをつくって普通の作業はそっちでやろうと思うはずだ。Qubesの利用者はセキュリティ意識が高いはずだから、特にそういう考えが浮かぶはずだ。でも、そのための設定メニューとかが全然ない。
実はQubes-OSでは、ユーザはそんなにない。 Qubes はマルチユーザシステムではない! 唯一のアカウントが、いま使っている管理者アカウントだ。ログインのときに、他のユーザを選ぶ余地もあるみたいだけれど、どうやってそれを作るべきかはよくわからない。
こう、ある意味で本来はユーザの使い分けで実現していたはずのセキュリティを、QubesではVM の使い分けで実現し、その分ユーザは一人だけにした、と考えるといいのかもしれない。
上のリンクを見つけるまでに30分はかかった。そうかなー、という気はしていたけれど、Qubesでは新ユーザは作らないのだ、というのが確認できた 。
4.2.2 ドメイン をいろいろ見てみる
限られたメニューから、ちがうドメイン のウェブブラウザを開いてみよう。たとえば「Work」「Personal」でやってみよう。ブックマークを片方に追加しても、他方に影響しない。履歴もちがうものになる。
でも、このドメイン の区別は、すぐに混乱してくる。クッキーは確かに共有されない。でもFirefox ではブラウザと同じく、利用者がFirefox のアカウントにログインしてブックマークや拡張機能 を一本化できてしまう。するとドメイン の独立もあいまいになる。さてどこまでドメイン を分けられるのか? ちょっとむずかしい問題なので、深入りはしません。
4.3 日本語入力
日本語入力をどうしようか? 公式文書では、やり方は以下にある。これはibus を使ったピンイン 入力の中国語だけれど、日本語でもやり方は同じだ。
www.qubes-os.org
ではやってみよう。重要なのは、個別のドメイン やVM でおこなうのではなく、TemplateVMでおこなうということ。インストールした時点であらかじめ作ってあるドメイン (VM )は、Fedora を使っている。だから、いまあるドメイン (WorkやPersonal) に機能を追加するには、Fedora のTemplateVMに追加することになる。そこでメニューから「Template: fedora -29 --> fedora29: Terminal」を選ぼう。
Fedora では、ソフトの追加はrpm というパッケージ管理システムを使う。ソフトは、他のソフトに依存することが多い。その依存関係の面倒をチェックするのがrpm と思えばいい。それをもっと拡張し、いろいろ気を利かせてあらかじめネット上に置かれたパッケージを探して、必要なものをあわせて入れてくれる管理ソフトもある。それが昔はyum だったけれど、いまはその後継のdnfというものになっている。
日本語入力もいろいろあって、さらにそれらを切り替える仕組みもibus と fcitxがあり、いろいろ争いが繰り広げられていたけれど、どうなったんだっけ。いずれにしても、fedora ではfcitxは提供されていないので (gnome の標準がibus になったってことなの?)、ibus -mozc を使っておこう。
ではさっき開いたfedora29のterminalで次をタイプする;
sudo dnf install ibus -mozc
いろいろ言ってくるのですべて「y」を押す。
では、インストールが済んだらfedora -29 TemplateVMを再起動しなくてはならない。メニューから「System Tools --> Qube Manager」を選ぼう。
fedora -29 TemplateVMを右クリックして「Restart qube」を選ぼう。これでおしまい。
では、何かドメイン を開こう。Personalでもなんでもいい。そこでターミナルを開き、こうタイプする。
ibus -setup
なんか出てくる。ここから先の設定はいろいろ自分で調べたりネットを見たりしてほしい。要は設定画面のタブで「input method」を選び、「Japanese」の下から「mozc」を追加すればいいわけだ。するとツールバー の右側のあたりに、言語のアイコンが出てくる。それをクリックすると、さらに設定が出てくる。
なお、ドメイン はそれぞれ別れているから、あらゆるドメイン で同じことをする必要がある。そしてそれぞれのドメイン のibus -mozcアイコンは、別個に表示される。だから、同じものがたくさん並ぶことになって、いささかごちゃついている。なんか日本語入力はグローバル設定にしたほうが……でも一方で、ドメイン をそう簡単にまたがれてしまっては、ドメイン をつくってすべてを隔離した意味がなくなるものね。
ibus -mozc を自動で起動させるには ~/.bashrc の編集が必要になる。これは、上の本家ドキュメンテーション にある通りなんだが、これをやってもibus が起動せず、しばらく悩んだ。答は簡単で、 .bashrc に起動するよう一行書いておけばいい! だからドキュメンテーション のある3行ではなく、4行追加することになる (nantoka.netの人ありがとう!! )
たった4行のタイプも面倒だという人向けに、コピペできるようにしておこう。
export GTK _IM_MODULE=ibus
export XMODIFIERS=@im=ibus
export QT_IM_MODULE=ibus
ibus -daemon -rdx
設定した Qube/ドメイン を再起動させよう。こんどは ibus -daemon が自動的に起動したはず。
……が、いまだにひらがな入力 とか各種の設定を覚えさせておくことができない。毎回設定しなおす羽目になっている。たぶん、何か単純なことを見落としているんだと思うが、とりあえずは放置。
4.4 他のソフトの起動とインストール
一部のソフトはインストール済み。単に画面にアイコンやメニューがないだけだ。そういうのはコマンドライン からアクセスが非通用となる。たとえばメールソフト Thunderbird の起動は、そのドメイン でterminalを開いて、次のようにタイプする;
thunderbird &
ちなみに最後の & は、ソフトを裏で動かしてterminalがプロンプトに戻ってくるようにするもの。こうしないと、そのソフトが終了するまでterminalはずっと使えなくなってしまう。
いったん起動したら、Thunderbird の設定は他のOSの場合とまったく同じだ。
でもインストールされていないソフトはどうする? ここでドキュメンテーション を読まない人(つまり全員)が落とし穴にはまり、混乱する。
たとえば、オフィススイートの LibreOffice をやってみよう。まずコマンドライン で LibreOffice を起動してみる。
libreoffice &
すると、ありません、と言われる。だから自分でインストールしなければならない。
4.4.1 まちがったやり方。
Linux 利用者などはここで、自分のソフトをその場でインストールできると考える。つまり(Fedora 配下のドメイン なら) 、自分がいま使っているところでターミナルを開いて、こうタイプすればいいと考える:
sudo dnf install libreoffice
これは、一見するとうまく行く。インストールは一応終わる。では起動しよう。
libreoffice &
これでちゃんと起動し、そして文書を作れるのだけれど……でも保存できない。そしてそのドメイン を閉じて次に立ち上げるときには、LibreOffice ごと消えてしまっている。
4.4.2 正しいやり方
実はここらあたりはちゃんと公式文書に出ている。が、えらく長ったらしい。
www.qubes-os.org
話は日本語入力と同じで、TemplateVMでまずインストールするということだ。すると、その配下のドメイン でそのソフトが使えるようになる。
ではFedora のTemplate VM を開こう。「Template: fedora -29 --> fedora29: Terminal」だ。
そして次をタイプする;
sudo dnf install libreoffice
いろいろ言われたら全部「y」だ。
そしてまたTemplateVMの再移動だ。「System Tools --> Qube Manager.」を選ぶ。
fedora -29 TemplateVMを右クリックして「Restart qube」を選ぼう。ついでに、自分が使っていたドメイン (たとえば「work」も一応再起動させておこう。
では、そのドメイン に出かけて、ソフトを立ち上げよう。
libreoffice &
今回は、アプリケーションが開き、文書も作れて保存できる。
4.5 内蔵カメラなどの使用
ここの部分、必ずしもよくわからない。カメラとか、なんだか途中で「見つかった」とマシンのほうから報告してきたけど、最初は検出されなかったような気がする。が、まあいいや。
でも検出されたら、使えます。が、これまたちょっと直感的ではない使い方となる。
たとえば「Work」ドメイン のターミナルを開けて、カメラを使うアプリケーションを開こう。たとえば Cheese はインストール済みだ。
cheese &
すると、アプリケーションは起動しても、カメラが見つからないよと文句を言われる。
必要なのは、デバイス をどのドメイン に接続するか選ばねばならないということだ。Qubesではデバイス もグローバルなアクセスは持っていない。
これについての公式文書は以下にある。
www.qubes-os.org
うん、これも長い。結局、右上のタスクバーのツールボックス に、デスクトップマシンみたいなアイコンがある。それをクリックすると、デバイス 一覧が出てくる。中にカメラもある。それを、自分がいま使っているドメイン につなげよう。たとえば「Work」とか。
では、「Work」ドメイン のターミナルに戻り、また Cheese を起動しよう。今度はカメラを見つけてくれて、己が醜き顔が画面に表示されるはずだ。
たぶん、さっきのデバイス 一覧に出てきた、なんだかわからないものは指紋リーダーかなんかだと思う。これはまだ試していない。
4.6 フォント
Linux などをインストールして多くの人が、なんだか洗練されていないと思って使うのをやめてしまう最大の理由は、フォントだと思う。フォントをちゃんと入れましょう。
使える各種のフリーフォント はいろいろあるので、たとえば以下を見てほしい。
note.kurodigi.com
Qubesへの入れ方は、上のアプリケーションと同じ。各テンプレートでdnfを使ってインストールすればいい。以下のページでのやり方をみてほしい。yum になっているところをdnfにすればだいたいオッケー。他のフォントの入れ方も、類推できるはず。
beyondjapan.com
ものぐさな人のために、ipaフォント とvlgothic については以下でオッケー。noto-cjkフォントとかも同じようにできます。
sudo dnf install ipa -*-fonts
sudo dnf install vlgothic*
sudo dnf install google -notojp
(notoフォントは、全部入れると2ギガを超えるすさまじい量になるので、日本語だけとかアラビア語 だけとか自分で取捨選択して!)
こう、フォントはテンプレートごとに入れねばならないのか、それとももっとグローバルに入れる方法があるのか? これはまだ調べがついていない。
こうした好きなフォントをあちこちで使うようにすれば、かなり洗練された印象になるはず。各種ウィンドウのタイトル部分が漢字を表示できないのは、ロケール をいじればいいのかな? これも今後の課題。
つづく……
というわけです。Qubes4.0 をレノボ Thinkpad X250 にインストールし、そこそこのところまできた。ブラウザ、メール、オフィススイート、日本語入力、どれも使える。すばらしい。でもごく基本的なところがまだわかってないかったりする。mozcの設定を保存する方法とかね。
でもここまでくると、自分が使いたいアプリケーションも好きにインストールできるようになる。Linux ではインストールしただけで終わりとなるケースがかなりあった、いやほとんどだったけれど、ここまで一通りできると、少し実際に使うのも視野に入ってくる。そして使うようになったら、今度はドメイン をまたがってコピペはできるのか(できるけど、ちょっと一段手間がかかる)、ファイルを別ドメイン に移すにはどうすればいいか(前と同じ)、といった新しい課題が出てくるけれど、これはかなり軽い悩みだし、ちょっと慣れないシステムの変わった癖くらいのものになる。すると投げ出すより、文書を読もうかという余裕も出てくる。ちなみに、以下に書いてあります。
www.qubes-os.org
実際ちょっと使ってみると、確かにおもしろいけれど、うーん。やっぱ使う側に制約多い。Firefox のユーザアカウントでいろいろドメイン 間で共有されたら? 全部のドメイン で同じGoogle アカウントにログインしたら、結局意味ないのでは? YouTube やアマゾンは? Qubes的には、そういうの全部別ドメイン にしろ、と言うけれど、現実的かなあ。
そしてこれまでの話は、すべてFedora ベースのrpm を使ったドメイン だった。でもDebian ベースのTemplateもあり、そっちはdeb /aptの世界が使える。仮想マシン をいくらでも作れるので、これは当然だけど、ちょっとおもしろい。そしてさらに、WindowsVMまで作れるそうな。それができたら使い勝手は跳ね上がる……けど、ぼくがそれを実現するまでは紆余曲折ありそうだ。
というわけで、これがぼくのQubesインストールと軽く使った体験。もちろん、X250だけしか見ていないから、他のマシンでは特にインストールの部分で勝手がちがったりはするだろう。あらゆるマシンでこれができると主張するものではないので、念のため。また、なんかとってもバカなことをしてたり、全然見当外れのことを言ってたりする面もかなりあると思うので、助言やご指摘あれば大歓迎!
山形浩生 (hiyori13@alum.mit.edu)
なんか、こういうコメントがきた。
b.hatena.ne.jp 言いたいことはわかる。その一方で、あらゆる人がこういう高いセキュリティ意識を持つことを前提にしたセキュリティモデルは、ぼくは持続不能 だと思う。バカが(いやバカでなくても)安きに流れて、それでも一定水準確保されるのが、あるべきセキュリティモデルだと思う。うん、むずかしいのはわかるけどね。
![戒厳令下チリ潜入記 [VHS]](https://d.hatena.ne.jp/images/hatena_aws.gif "戒厳令下チリ潜入記 [VHS]")
