Qubes OS

Qubes OS 是「合理安全的操作系统」 — 一个基于 Xen 的桌面操作系统，每个工作流都生活在自己的qube中，彼此之间有 hypervisor 级别的隔离。评为 Grade A·编辑推荐，因为 Qubes 占据了一个结构上独特的位置：它是唯一一个使用hypervisor 隔离作为主要安全原语的消费级操作系统。Edward Snowden 公开支持它；Tails Project 和 Whonix Project 都推荐 Qubes 作为规范的严格匿名主机。

Background. Qubes OS 由 Joanna Rutkowska 于 2010 年创建，首次稳定发布在 2012 年。目前由 Qubes OS Project 维护，由 Marek Marczykowski-Górecki 领导。在 GPLv2 许可证下开源。硬件要求：6 GB RAM 官方最低，16 GB 实际最低（舒适多 qube 使用），32 GB 推荐；64 位 CPU 带 VT-x + VT-d；SSD 强烈推荐。Tails-on-Qubes：Tails 作为可丢弃虚拟机运行。Qubes-Whonix：规范推荐用于匿名工作。资金：捐赠 + 拨款（NLnet、Open Tech Fund）。

What you trust. Xen hypervisor — Qubes 构建在 Xen 4.x 之上。默认隔离 — 独立的 qube 用于银行、个人、工作、保险库、可丢弃、不可信网络。GUI 合成器隔离。网络是其自身的 qube — `sys-net` 拥有网卡。可丢弃 qube — 为一次性任务创建并销毁。不回连母服务器。你不必信任的：硬件（CPU 本身、固件、网卡硬件）。Xen 上的侧信道攻击（Spectre、Meltdown）— 已在硬件 + Xen 补丁中缓解；较新的 CPU 包含针对这些攻击的硬件缓解措施。dom0 妥协将是灾难性的。

Operational specs. 硬件：64 位 CPU 带 VT-x + VT-d 或 AMD-V + IOMMU；6 GB RAM 官方最低，16 GB 实用最低；SSD 强烈推荐。模板：Fedora、Debian、Whonix-Gateway、Whonix-Workstation、自定义模板。Qube 类型：AppVM、TemplateVM、NetVM、ProxyVM、DispVM。Qube 间通信：通过 `qrexec` 进行显式和策略控制。GUI：dom0 运行受信任的合成器；窗口装饰显示 qube 名称 + 颜色。更新：每个模板单独接收更新。可丢弃虚拟机：通过右键点击「在可丢弃虚拟机中打开」即时创建。HVM 模式：适用于无法作为 PV/PVH 运行的旧应用。

Philosophy. Qubes 的编辑差异化特点是hypervisor 隔离作为主要安全原语模型。Linux、macOS、Windows 都共享应用程序在用户空间运行的假设。Qubes 颠倒了这一点：操作系统本身不可信并在 Xen 虚拟机内部运行。hypervisor 是安全边界。Snowden 认可，Tails/Whonix 推荐。

Grade rationale. Grade A 和编辑推荐基于：开源 GPLv2；15+ 年运营连续性；hypervisor 隔离作为主要安全；由具名团队维护（Joanna Rutkowska、Marek Marczykowski-Górecki）；独立安全审查；原生配对 Whonix；可丢弃虚拟机模型；基于模板的更新；显式 qrexec 通信；Snowden 认可；被 web3privacy 收录。最后验证于 2026-05-13。

Useful when. 你处于应用层妥协是可信攻击向量的威胁模型中。你已经在运行 Whonix 并想要 hypervisor 隔离。你需要可丢弃虚拟机。你想要按工作流隔离。你是一个安全研究员。你是一个记者。你想要当前消费硬件上可用的最强桌面隐私姿态。

Caveats. 重量级硬件要求 — 16 GB RAM 实用最低。真实硬件首选 — 仅在裸金属上工作。陡峭的学习曲线。某些应用效果不好 — GPU 加速应用（Qubes 4.2+ 改善了 GPU 直通但加速仍有限）、某些视频会议工具；Zoom 屏幕共享、Discord 流媒体和 VR 应用在 Qubes 上很困难。无移动端。dom0 是高价值目标。Xen 上的侧信道攻击是真实的关切。某些配置中无 Secure Boot — Secure Boot 支持因 Qubes 发布和硬件而异。笔记本电池续航比原生 Linux 差。Qube 间数据移动需要显式复制。备份策略至关重要。