-
Tc4dy
Hem Göktürküz Hem Osmanlı Hem Selçuklu Hem Hun'uz!
Qubes OS: Tam OPSEC & Gelişmiş Ağ Güvenliği Rehberi 
GİRİŞ: OPSEC NEDİR VE QUBES NEDEN?
OPSEC (Operasyonel Güvenlik), kim olduğunuzu, ne yaptığınızı ve ne zaman yaptığınızı rakiplerinizden gizleme sanatıdır. Qubes OS bu konuda benzersizdir çünkü "güvenlik bölümlendirme yoluyla" felsefesini işletim sistemi çekirdeğine işlemiştir. Tek bir sistemde onlarca izole ortam çalıştırırsınız; bir Qube ele geçirilse bile diğerleri etkilenmez.Ancak Qubes'u kurmak yetmez. Yanlış yapılandırılmış bir Qubes sistemi, düz bir Linux kurulumundan daha tehlikeli olabilir — çünkü size yanlış bir güvenlik hissi verir. Bu rehber sizi adım adım gerçek, işlevsel bir OPSEC altyapısına taşıyacaktır.
BÖLÜM 1: MİMARİ TASARIM — BAŞLAMADAN ÖNCE PLANLAMA
1.1 Tehdit Modelinizi Belirleyin
Her şeyden önce kendinize şunu sorun: Kim sizi hedef alabilir? Bu sorunun cevabı tüm yapılandırmanızı şekillendirir.Gazeteciler, aktivistler ve gizlilik bilincine sahip kullanıcılar için tipik bir tehdit modeli şöyle görünür: ISP seviyesinde trafik analizi, metadata toplama, tarayıcı parmak izi, VM kaçışı saldırıları ve fiziksel erişim senaryoları. Bu rehber bu tehdit modelini hedef alır.
1.2 İdeal Qube Mimarisi
Bir Qubes sistemini katmanlı ağ zincirleri olarak düşünmelisiniz. Her Qube'un tek bir sorumluluğu olmalı, hiçbir Qube birden fazla kritik işlevi üstlenmemelidir.Önerilen temel zincir şu şekildedir:
AppVM → ProxyVM-VPN → sys-firewall → sys-net
Whonix ile tam anonimlik isteyenler için:
AppVM → sys-whonix → ProxyVM-Bridge → sys-firewall → sys-net
Katmanlı VPN + Tor için:
AppVM → ProxyVM-VPN2 → sys-whonix → ProxyVM-VPN1 → sys-firewall → sys-net
Bu zincirleri kurulum öncesinde kağıda döküp planlamanız, sonradan yapılan hataların önüne geçer.
1.3 Temel VM Rolleri ve Adlandırma Konvansiyonu
Sisteminizi anlamlı bir adlandırma şemasıyla kurun. Örneğin:- sys-net → Fiziksel ağa bağlı tek VM (WiFi/Ethernet kartı buraya ata)
- sys-firewall → Merkezi güvenlik duvarı (tüm uygulama VM'leri buraya bağlanır)
- sys-vpn → VPN ProxyVM (WireGuard veya OpenVPN çalışır)
- sys-whonix → Tor ağ geçidi
- vault → İnternetsiz şifre kasası (KeePassXC, GPG anahtarları)
- work → İş uygulamaları
- personal → Kişisel kullanım
- banking → Sadece bankacılık (en kısıtlı AppVM)
- anon → Kimlik gerektirmeyen anonim işlemler
BÖLÜM 2: sys-net VE sys-firewall GÜVENLİK SERTLEŞTİRMESİ
2.1 sys-net'i Küçük ve Sıkı Tutun
sys-net, fiziksel donanımınıza erişen tek VM'dir ve bu yüzden en savunmasız noktadır. Burada mümkün olduğunca az yazılım çalıştırın.sys-net için RAM'i minimize edin. dom0 terminalinde şunu çalıştırın:
qvm-prefs sys-net memory 300
qvm-prefs sys-net maxmem 400
sys-net'in ağ bağlantısını yalnızca gerekli servislere kısıtlayın. sys-net'in kendi firewall kurallarına gidip gelen tüm bağlantıları varsayılan olarak reddedin, yalnızca DHCP (UDP 67-68) ve DNS (UDP/TCP 53) için istisna ekleyin.
2.2 sys-firewall'ı qubes-mirage-firewall ile Değiştirin
Standart sys-firewall bir Fedora Linux VM'idir ve yaklaşık 400 MB RAM kullanır. qubes-mirage-firewall ise aynı işi sadece 32 MB RAM ile yapan bir MirageOS unikernel'dir. Üstelik saldırı yüzeyi son derece küçüktür.Kurulum için dom0 terminalinde:
sudo qubes-dom0-update qubes-mgmt-salt-dom0-virtual-machines
Ardından Qubes Manager'dan mevcut sys-firewall'ı durdurun. Yeni bir VM oluşturun, mirage-firewall template'ini seçin ve "Provides network access to other qubes" seçeneğini işaretleyin. Tüm AppVM'lerinizin Net Qube ayarını bu yeni VM'e yönlendirin. Eski sys-firewall'ı silin.
Bu değişiklik özellikle RAM kısıtlı sistemlerde (8-16 GB) büyük fark yaratır.
BÖLÜM 3: VPN PROXYVM — TAM YAPILANDIRMA
3.1 ProxyVM Oluşturma
Qubes Manager'ı açın ve yeni VM oluşturun. İsim: sys-vpn. Template olarak Fedora veya Debian seçin. VM tipini "App Qube" olarak bırakın. Gelişmiş sekmesinden "Provides network access to other qubes" seçeneğini mutlaka işaretleyin. Net Qube olarak sys-firewall'ı seçin. Başlangıç RAM'ini 300 MB olarak ayarlayın.3.2 WireGuard Kurulumu ve Yapılandırması
sys-vpn'i başlatın ve terminal açın. Fedora tabanlı ise:sudo dnf install wireguard-tools -y
Debian tabanlı ise:
sudo apt install wireguard -y
VPN sağlayıcınızdan aldığınız WireGuard yapılandırma dosyasını şu konuma kopyalayın:
sudo cp wg0.conf /etc/wireguard/wg0.conf
sudo chmod 600 /etc/wireguard/wg0.conf
wg0.conf dosyasının içeriği tipik olarak şöyle görünür:
[Interface]
PrivateKey = SIZIN_OZEL_ANAHTARINIZ
Address = 10.2.0.2/32
DNS = 10.2.0.1
[Peer]
PublicKey = SUNUCUNUN_ACIK_ANAHTARI
Endpoint = sunucu.vpn.com:51820
AllowedIPs = 0.0.0.0/0, ::/0
PersistentKeepalive = 25
DNS satırı kritiktir. Boş bırakmayın veya 8.8.8.8 gibi genel DNS'e yönlendirmeyin; bu DNS sızıntısına yol açar.
3.3 Kill Switch — Bağlantı Kesilirse Trafik Sızdırmasın
WireGuard'ın en büyük avantajlarından biri, doğru yapılandırıldığında yerleşik kill switch işlevi görmesidir. wg0.conf dosyanızın Interface bölümüne şu satırları ekleyin:PostUp = iptables -I OUTPUT ! -o wg0 -m mark ! --mark $(wg show wg0 fwmark) -m addrtype ! --dst-type LOCAL -j REJECT
PreDown = iptables -D OUTPUT ! -o wg0 -m mark ! --mark $(wg show wg0 fwmark) -m addrtype ! --dst-type LOCAL -j REJECT
PostUp = ip6tables -I OUTPUT ! -o wg0 -j REJECT
PreDown = ip6tables -D OUTPUT ! -o wg0 -j REJECT
Bu kurallar şunu yapar: wg0 arayüzü aktif değilken, yerel ağ trafiği dışında hiçbir paket dışarı çıkamaz. VPN bağlantısı koptuğunda internet tamamen kesilir, "açık" bağlantıya düşülmez.
3.4 Otomatik Başlatma
/rw/config/rc.local dosyasını düzenleyin (bu dosya her VM başladığında çalışır):sudo nano /rw/config/rc.local
Dosyaya şunları ekleyin:
bash
#!/bin/bash
# WireGuard otomatik başlat
sleep 5
wg-quick up wg0
# DNS sızıntı koruması
/usr/lib/qubes/qubes-setup-dnat-to-ns
Dosyayı çalıştırılabilir yapın:
sudo chmod +x /rw/config/rc.local
3.5 DNS Sızıntı Testi
VPN aktifken sys-vpn terminalinde şunu çalıştırın:curl https://dnsleaktest.com/api/resolve/whoami
Dönen IP'nin VPN sunucusunun IP'si olduğunu doğrulayın. Ayrıca:
cat /etc/resolv.conf
Bu dosyada yalnızca VPN sağlayıcınızın DNS sunucusu görünmeli, ISP'nizin DNS'i kesinlikle görünmemelidir.
3.6 IPv6 Sızıntısını Kapatın
IPv6, VPN tünelini atlayarak gerçek IP'nizi açığa çıkarabilir. sys-vpn'de:sudo sysctl -w net.ipv6.conf.all.disable_ipv6=1
sudo sysctl -w net.ipv6.conf.default.disable_ipv6=1
Bu ayarı kalıcı yapmak için /etc/sysctl.d/99-nopiv6.conf dosyası oluşturun:
net.ipv6.conf.all.disable_ipv6 = 1
net.ipv6.conf.default.disable_ipv6 = 1
net.ipv6.conf.lo.disable_ipv6 = 1
BÖLÜM 4: OPENSSL/OPENVPN YAPIPLANDIRMASI
4.1 OpenVPN ProxyVM Kurulumu
WireGuard kullanamıyorsanız (bazı ülkelerde WireGuard trafiği tespit edilebilir), OpenVPN alternatif sunar.sudo dnf install openvpn -y
VPN yapılandırma dosyasını kopyalayın:
sudo cp client.ovpn /etc/openvpn/client/client.conf
4.2 DNS Sızıntısını OpenVPN'de Önleme
/etc/openvpn/client/client.conf dosyasına ekleyin:script-security 2
up /etc/openvpn/update-resolv-conf
down /etc/openvpn/update-resolv-conf
dhcp-option DNS 10.8.0.1
update-resolv-conf scripti, OpenVPN bağlantısı kurulduğunda /etc/resolv.conf dosyasını otomatik olarak günceller ve kapandığında geri alır.
4.3 Servis Otomasyonu
sudo systemctl enable openvpn-client@client
sudo systemctl start openvpn-client@client
/rw/config/rc.local içine ekleyin:
bash
systemctl start openvpn-client@client
sleep 10
/usr/lib/qubes/qubes-setup-dnat-to-ns
BÖLÜM 5: sys-whonix VE TOR YAPIPLANDIRMASI
5.1 sys-whonix'i Anlayın
sys-whonix, Qubes'un Whonix entegrasyonunun ağ geçidi VM'idir. Tüm Tor trafiği buradan geçer. Whonix-Workstation (anon-whonix) AppVM'i ise kullanıcı uygulamalarını çalıştırır.Whonix zinciri: anon-whonix → sys-whonix → sys-firewall → sys-net
5.2 Tor Köprüsü (Bridge) Yapılandırması
Ülkenizde Tor engelleniyorsa veya ISP'niz Tor kullanımını tespit ederse köprüler kullanmanız gerekir.sys-whonix terminalinde Whonix Anon Connection Wizard'ı açın:
anon-connection-wizard
Grafik arayüzden "Configure" → "Use a bridge" seçin. Obfs4 köprüleri en iyi gizleme sağlar. bridges.torproject.org adresinden Tor Browser ile köprü listesi alabilirsiniz.
Alternatif olarak /etc/tor/torrc dosyasını manuel düzenleyin:
UseBridges 1
ClientTransportPlugin obfs4 exec /usr/bin/obfs4proxy
Bridge obfs4 IP
ORT FINGERPRINT cert=SERTIFIKA iat-mode=05.3 VPN Üzerinden Tor (VPN → Tor)
Bu konfigürasyonda ISP'niz Tor kullandığınızı göremez, yalnızca VPN trafiği görür. sys-whonix'in Net Qube'unu sys-vpn olarak ayarlayın:qvm-prefs sys-whonix netvm sys-vpn
Artık trafik akışı: anon-whonix → sys-whonix (Tor) → sys-vpn (VPN) → sys-net
Bu hem anonimliği hem de Tor kullanımının gizlenmesini sağlar.
5.4 Tor Üzerinden VPN (Tor → VPN)
Bazı senaryolarda VPN'in Tor üzerinden çalışması gerekir; örneğin Tor'u kabul etmeyen sitelere erişim için. Bu durumda anon-whonix AppVM'de VPN istemcisi çalıştırın. sys-whonix zincirini değiştirmeyin.Dikkat: Bu yapılandırma VPN sağlayıcınıza gerçek Tor çıkış IP'nizi gösterir. VPN sağlayıcınıza güvenmiyorsanız bu yöntemi kullanmayın.
5.5 qrexec ile sys-whonix'e Ön Proxy Bağlama
Tor'un bir obfsproxy veya SOCKS5 proxy üzerinden geçmesi gerekiyorsa, qrexec port yönlendirmesi kullanın.dom0'da /etc/qubes/policy.d/30-user.policy dosyasına ekleyin:
qubes.ConnectTCP +9150 anon-whonix @Default allow target=sys-proxy
sys-proxy VM'inde (SOCKS5 proxy çalışan VM):
qvm-service sys-proxy qubes-tcp-proxy-9150 on
sys-whonix'te torrc dosyasına ekleyin:
Socks5Proxy 127.0.0.1:9150
BÖLÜM 6: DOCKER GELİŞTİRME ORTAMI
6.1 Docker için Özel AppVM
Docker'ı asla template VM'inize kurmayın. Bunun yerine template'ten klonlanmış özel bir AppVM kullanın:qvm-clone fedora-38 fedora-38-docker
Bu klon VM'e Docker'ı kurun, ardından buradan Docker AppVM'leri oluşturun.
6.2 SELinux Sorununu Çözmek
Fedora tabanlı VM'lerde Docker, SELinux politikaları nedeniyle depolama sorunları yaşar. Terminal açın:sudo mkdir -p /home/user/docker
sudo chcon -Rt container_file_t /home/user/docker
/etc/docker/daemon.json dosyası oluşturun:
json
{
"data-root": "/home/user/docker",
"storage-driver": "overlay2"
}
Bu ayar Docker'ın tüm imajlarını ve container verilerini ev dizininizde saklamasını sağlar. Qubes'ta /var/lib/docker varsayılan olarak yeniden başlatmalarda silinir, ancak /home/user kalıcıdır.
6.3 Sembolik Link ile Kalıcı Depolama
sudo systemctl stop docker
sudo mv /var/lib/docker /home/user/docker-data
sudo ln -s /home/user/docker-data /var/lib/docker
sudo systemctl start docker
/rw/config/rc.local içine ekleyin:
bash
# Docker sembolik link doğrula
if [ ! -L /var/lib/docker ]; then
ln -s /home/user/docker-data /var/lib/docker
fi
systemctl start docker
6.4 Docker Ağ İzolasyonu
Docker container'larının yanlışlıkla Qubes ağ zincirini atlatmasını önlemek için Docker'ın iptables yönetimini devre dışı bırakın ve Qubes güvenlik duvarını koruyun:json
{
"iptables": false,
"ip-forward": true
}
Bunu yaptıktan sonra container'lar için NAT kurallarını manuel yönetmeniz gerekir, ancak Qubes'un kendi firewall kuralları korunmuş olur.
BÖLÜM 7: HTTP FİLTRELEME — TINYPROXY
7.1 Bankacılık ve Yüksek Güvenlikli İşlemler için Beyaz Liste
Belirli AppVM'lerin yalnızca önceden onaylanmış sitelere erişmesini istiyorsanız, ayrı bir ProxyVM'de Tinyproxy kurabilirsiniz.sys-filter adında yeni bir ProxyVM oluşturun. Ardından:
sudo dnf install tinyproxy -y
/etc/tinyproxy/tinyproxy.conf dosyasını düzenleyin:
Port 8888
Listen 10.137.0.1
Timeout 600
DefaultErrorFile "/usr/share/tinyproxy/default.html"
StatFile "/usr/share/tinyproxy/stats.html"
LogFile "/var/log/tinyproxy/tinyproxy.log"
LogLevel Info
MaxClients 100
Filter "/etc/tinyproxy/filter"
FilterDefaultDeny Yes
FilterURLs Yes
/etc/tinyproxy/filter dosyası oluşturun ve izin verilecek domainleri ekleyin:
^bankanizindomaini\.com$
^ssl\.bankanizindomaini\.com$
^api\.bankanizindomaini\.com$
FilterDefaultDeny Yes satırı, listeye alınmayan her şeyi otomatik olarak engeller.
7.2 AppVM'i Proxy Üzerinden Bağlama
Bankacılık AppVM'inin ayarlarında Net Qube olarak sys-filter'ı seçin. AppVM'deki tarayıcıyı proxy kullanacak şekilde yapılandırın; Firefox'ta Network Settings → Manual Proxy Configuration → HTTP Proxy: 10.137.0.1, Port: 8888.
BÖLÜM 8: AEGİS İLE WIREGUARD OTOMATİK ROTASYON
8.1 Neden Konfigurasyon Rotasyonu?
Tek bir VPN endpoint'ine sürekli bağlanmak, trafik analizini kolaylaştırır. Aegis gibi araçlar, her bağlantıda farklı bir WireGuard yapılandırması seçerek bu analizi zorlaştırır.8.2 Aegis Kurulumu
sys-vpn terminalinde:pip install aegis-wireguard
Veya kaynak koddan derleyin:
git clone https://github.com/pufferffish/aegis
cd aegis
cargo build --release
sudo cp target/release/aegis /usr/local/bin/
8.3 Yapılandırma Havuzu Oluşturma
/rw/config/wireguard/ dizini oluşturun ve tüm WireGuard yapılandırma dosyalarınızı buraya kopyalayın:/rw/config/wireguard/us-east.conf
/rw/config/wireguard/eu-west.conf
/rw/config/wireguard/asia-sg.conf
8.4 Otomatik Rastgele Seçim
/rw/config/rc.local içine ekleyin:bash
# Rastgele WireGuard konfigürasyonu seç
CONFIGS_DIR="/rw/config/wireguard"
SELECTED=$(ls $CONFIGS_DIR/*.conf | shuf -n 1)
cp $SELECTED /etc/wireguard/wg0.conf
sleep 3
wg-quick up wg0
/usr/lib/qubes/qubes-setup-dnat-to-ns
Her VM yeniden başladığında farklı bir lokasyondan bağlanır.
BÖLÜM 9: VAULT VM — İNTERNETSİZ ŞIFRE KASASI
9.1 Vault VM Yapılandırması
Vault VM'i oluştururken Net Qube alanını "None" olarak ayarlayın. Bu VM'in hiçbir zaman internete erişimi olmayacak.KeePassXC kurun:
sudo dnf install keepassxc -y
GPG anahtar üretimi için:
gpg --full-generate-key
RSA 4096-bit seçin, anahtarınıza güçlü bir passphrase verin.
9.2 Vault ile Diğer VM'ler Arası Güvenli Dosya Transferi
Qubes'un qvm-copy mekanizmasını kullanın. Hiçbir zaman ağ üzerinden şifre veya anahtar aktarmayın.Vault terminalinde:
qvm-copy-to-vm work /path/to/dosya
Bu komut, dosyayı work VM'inin ~/QubesIncoming/vault/ dizinine kopyalar. Kopyalama işlemi şifreli Xen shared memory üzerinden gerçekleşir, ağ kullanılmaz.
9.3 GPG Anahtarlarını Vault'ta Tutma
Diğer VM'lerden vault'taki GPG anahtarlarını kullanmak için Qubes'ın split-gpg özelliğini kullanın:dom0'da:
sudo qubes-dom0-update qubes-gpg-split
vault VM'de:
sudo systemctl enable qubes-gpg-proxy-server
work VM'de:
export QUBES_GPG_DOMAIN=vault
qubes-gpg-client --list-keys
Bu sayede özel GPG anahtarı vault'tan hiç çıkmaz, yalnızca imzalama/şifreleme işlemleri proxy üzerinden gerçekleştirilir.
BÖLÜM 10: PYSİKSEL GÜVENLİK VE BOOT ZİNCİRİ
10.1 Anti-Evil-Maid (AEM) Kurulumu
Fiziksel erişim saldırılarına karşı Anti-Evil-Maid kurulumu yapın. Bu sistem, bilgisayarınızın TPM çipini kullanarak boot süreci değiştirilmişse sizi uyarır.dom0'da:
sudo qubes-dom0-update anti-evil-maid
sudo aem-enroll
Bir USB sürücüsüne AEM kurulumu yapılır ve her boot'ta bu sürücüdeki gizli mesaj ekranda belirir. Mesaj değişmişse veya görünmüyorsa boot etmeyin.
10.2 Full Disk Şifreleme Doğrulama
Qubes kurulumu sırasında LUKS şifrelemesi aktif edilmiş olmalıdır. Mevcut şifreleme durumunu kontrol edin:sudo cryptsetup status /dev/mapper/qubes_dom0-root
LUKS başlığını yedekleyin ve güvenli bir yerde (vault VM'de) saklayın:
sudo cryptsetup luksHeaderBackup /dev/sda --header-backup-file luks-header-backup.img
10.3 Secure Boot ve UEFI
Qubes, Secure Boot ile tam uyumlu değildir ve çoğu kurulumda Secure Boot devre dışı bırakılır. Bunun yerine BIOS/UEFI şifresi koyun, boot sırasını sadece dahili sürücüden gelecek şekilde kısıtlayın ve USB boot'u devre dışı bırakın.
BÖLÜM 11: OPSEC DAVRANIŞ KURALLARI
11.1 VM Ayrımını Asla İhlal Etmeyin
En yaygın OPSEC hatası VM sınırlarını ihlal etmektir. Şu kurallara uyun:Anonim kimlikle ilgili hiçbir dosyayı gerçek kimlik VM'lerinize kopyalamayın. anon-whonix'te kullandığınız hesaplara kişisel VM'lerden hiç giriş yapmayın. Aynı web sitesini hem anonim hem de kimlikli VM'den ziyaret etmeyin; bu trafik korelasyonuna yol açar.
11.2 Zaman Korelasyonu
Tor veya VPN kullanıyor olsanız bile davranış örüntüleriniz sizi ele verebilir. Her gün aynı saatte bağlanıyorsanız, bağlantıların süresi tutarlıysa veya yalnızca belirli saatlerde aktifseniz, bu örüntüler anlamlı metadata üretir.sys-whonix'te sdwdate otomatik olarak çalışır ve sisteminizin saatini Tor üzerinden eşitler. Bu servisi asla devre dışı bırakmayın:
sudo systemctl status sdwdate
11.3 Metadata Temizleme
Paylaşmadan önce her dosyadaki metadata'yı temizleyin. Qubes'ta mat2 veya ExifTool kullanın:sudo dnf install mat2 -y
mat2 belge.pdf
mat2 fotograf.jpg
Özellikle dokümanlar, fotoğraflar ve ofis dosyaları yazar adı, oluşturma tarihi, kullanılan yazılım ve hatta GPS koordinatları içerebilir.
11.4 Ekran Görüntüsü ve Clipboard Güvenliği
Qubes, clipboard'u VM'ler arasında otomatik olarak paylaşmaz. Kopyalamak için Ctrl+C, ardından Ctrl+Shift+C ile Qubes clipboard'una taşıyın. Hedef VM'de Ctrl+Shift+V ile alın.Ekran görüntüsü alma konusunda dikkatli olun; hangi VM'de olduğunuzu kontrol edin ve yanlış pencereyi yakalamayın.
BÖLÜM 12: GÜNCELLEME STRATEJİSİ VE BAKIM
12.1 Template Güncelleme Politikası
Güvenlik açıklarına karşı template VM'lerinizi düzenli güncelleyin. dom0'da:sudo qubes-dom0-update
Fedora template için:
qvm-run --auto fedora-38 "sudo dnf update -y"
Debian template için:
qvm-run --auto debian-12 "sudo apt update && sudo apt upgrade -y"
Bu komutları haftalık çalıştırmak için dom0'da bir cron job oluşturabilirsiniz.
12.2 Kullanılmayan VM'leri Kapatın
RAM kaynağını koruyun ve saldırı yüzeyini azaltın:qvm-shutdown --all
Bunu oturum kapatmadan önce alışkanlık haline getirin. Kullanmadığınız VM'ler çalışır durumda olmamalıdır.
12.3 VM'leri Periyodik Klonlayın ve Arşivleyin
Kritik AppVM'lerinizi periyodik olarak klonlayın. Bir Qube ele geçirilirse temiz bir kopyadan devam edebilirsiniz:qvm-clone work work-backup-2024-01
Klonları ayrı bir depolama alanında saklayın veya Qubes backup aracını kullanın:
qvm-backup --profile my-backup
SONUÇ: KONTROl LİSTESİ
Sisteminizin tam anlamıyla güvenli olduğunu doğrulamak için şu listeyi kullanın:sys-net yalnızca ağ donanımını yönetiyor, başka hiçbir uygulamayı çalıştırmıyor olmalı. qubes-mirage-firewall kurulu ve sys-firewall'ın yerinde çalışıyor olmalı. sys-vpn'de WireGuard veya OpenVPN, kill switch aktif ve DNS sızıntısı önlenmiş şekilde çalışıyor olmalı. IPv6 sys-vpn'de tamamen devre dışı olmalı. Vault VM'in Net Qube'u None olarak ayarlı olmalı. split-gpg yapılandırılmış olmalı. Her AppVM'in doğru Net Qube zincirine bağlı olduğu kontrol edilmiş olmalı. Tüm template VM'ler güncel olmalı. AEM kurulu ve test edilmiş olmalı. LUKS header yedeği vault'ta saklanıyor olmalı.
Bu rehberi uygulayan bir Qubes kurulumu, büyük çoğunluğu içeren ciddi tehdit modellerine karşı sağlam bir OPSEC altyapısı sunar. Ancak unutmayın: en iyi teknik güvenlik bile tutarsız davranış örüntülerine karşı sizi koruyamaz. Teknik altyapı ve davranışsal disiplin birlikte çalışmalıdır.
