Всё сломалось и пошло кубами

стоит вагрант (lxc, virtualbox) для консоли, virtualbox и vmware workstation для графики, а наш софт в основном запускается в докере. В этих условиях эти кубы точно нужны, или вышеописывающиеся вещи всё решают?

Qubes OS оно многоцелевое, больше для десктопа. Больше решают проблему установки/запуска разного недоверенного софта. Когда при использовании классических дистрибутивов, всё получается в единном пространстве. Тут предполагается пользователю самому разносить софт и данные по изолированным окружениям, в зависимости от того, что пользователю нужно. Я ожидал что тут будет что-то вроде каждого приложения в своем контейнере с разрешениями, но оказалось вовсе не так.

Запускать для каждой проги отдельную копию ОС это шиза. На десктопе, по крайней мере.

Вот оно и не так тут немного. А для десктопных задач как раз самое оно. Потому-что много приложений, они разные, а в классических дистрах с безопасностью плохо. Вот выйдет в мейнстрим xdg-app, тогда можно будет посмотреть. Но он ещё долго будет взлетать.

А сейчас пошло много всякого говна на Electon, который запускать стрёмно на используемой системе, несмотря на то что опенсорс.

И да, мне даже запустить копию ОС для проги лучше, чем перезагружаться в специализированное окружение на флешке.

почти не известен на лоре

Интересующимся - известен.

Больше решают проблему установки/запуска разного недоверенного софта.

Верно.

Вообще - очень мощная и перспективная концепция, но на практике пока почти неюзабельно.

Парадокс - такой очевидный юзкейс, как запуск skype, недоступен на уровне дистра-подложки (fedora)! Нет ебилдов пакета в репах! А была бы гента, всё было бы иначе.

Я, кстати, пытался запилить поддержку генты, но там такой ядрёный эзотерический код скриптов сборки образов, что я забил. Да и распределение аппаратной оперативной памяти там не очень оптимальное, так что пока что пользоваться им активно не очень удобно. Даже остроумная концепция Split GPG пока что требует допиливания - например, с Gajim использовать не получилось, ибо gajim дёргает gpg с флагом '-h', а split gpg не даёт того, что gajim ожидает в этом случае.

Ещё емнип там по умолчанию флешки подсоединялись к dom0, что чревато потенциальным подламыванием ядра dom0 и gameover-ом.

В общем, я пока что иду другим путём - отказ от закрытого софта (skype, acroread), переход со скайпа на XMPP (и XMPP-Skype транспорт), sandbox-юзеры для закрытого софта и браузеров, SELinux, жду Wayland.

Вот сейчас в 3.1 предлагается не только федора, но и debian и whoix. А на сайте есть информация как сделать Archlinux.

Ещё емнип там по умолчанию флешки подсоединялись к dom0, что чревато потенциальным подламыванием ядра dom0 и gameover-ом.

И сейчас. С dom0 все плохо, да.

Хорошая идея, но у создателей вообще нет чувства прекрасного. Вот нужно было брать в качестве дефолтной основы для изолированного окружения дефолтную федору на гноме. При том что само рабочее окружение предлагается выбирать из KDE и XFCE.

Ещё емнип там по умолчанию флешки подсоединялись к dom0, что чревато потенциальным подламыванием ядра dom0 и gameover-ом.

Вообще сейчас, как понял, можно создать отдельную VM для USB по умолчанию. Но эта фича при установке была помечена как экспериментальная.

А что стремного, если OS?

Есть похожий дистрибутив, но с LXC и GNOME Shell Classic
Поищи на Opennet

То вообще какая-то полукоммерческая поделка, да ещё и глубокая альфа. Subgraph OS.

А что стремного, если OS?

А то, что на открытость кода можно положиться разве что только в самом популярном ПО. А этот electron к тому-же интерпритатор JS и может загружать и исполнять непонятно какой код. Да и JS там в основном из npm, что уже дыра в свете последних событий.

Интересная штука, можно секурный браузер пускать через VPN получается, а обычный напрямую, надо будет в виртуалке попробовать, что-то не хочется с уютной генты пока уходить. Привык за 4 года как к родной. У меня жена меньше чем гента.

Да. Я вот сижу на qubes уже некоторое время. Держу одни окружения у меня работают через VPN, другие с реальным ip. Можно и больше, например, несколько окружений с разными IP. А то что в доступе к сети не нуждается, вообще лучше держать офлайн. Например, менеджер паролей или можно cold-storage хранилище биткоинов так организовать. Вообще это изоляция данных в первую очередь, а не приложений.

Привык за 4 года как к родной. У меня жена меньше чем гента.

Вообще, qubes не дистрибутив вовсе. Дефолтным дистром по умолчанию является федора. Другим поддерживаемым — debian. Теоретически можно что угодно адаптировать. У меня руки ещё не дошли до арча. Ломка по дистрибутиву — это то ещё.

Минусы:

1. Cложная работа с устройствами. По сути они пробрасыватся в конкретную виртуалку, а вот средств совместной работы нет. С USB тоже всё плохо. Нормальная работа только с блочными устройствами. Это пожалуй основной недостаток.
2. Это новая сущность, к которой нужно привыкать, и как-то соображать, как это использовать. У меня ещё не сложились конкретные окружения под задачи. Постоянно что-то создаю, что-то удаляю.
3. Повышенная требовательность к ресурсам и более медленная работа. С моими 5Гб ОЗУ приходится часто вручную завершать работу одних окружений, чтобы запустить другие.
4. Нежелательность настройки dom0. Не рекомендуется ничего менять, чтобы избежать возможности эксплуатации уязвимостей. Что-то дополнительно устанавливать. Даже обоину менять не рекомендуется. Но следует заметить, что это справедливо к любому дистрибутиву. То есть даже совершая эти нежелательные действия, уровень секьюрности всё равно выше обычных дистров. Но страдает именно та модель безопасности, что предлагается Qubes.