> Обновления Xen да, желательно ставить. Еще обновления Qubes-специфичных компонентов.
> Еще, если заморачиваться на Spectre, можно ставить обновления микрокода для его
> использования ядрами и Xen'ом. Всё остальное на dom0 обычно не особо
> нужно обновлять, и обновление может не оправдывать риск. Из коробки, делать
> обновления выборочно неудобно.Да, надо понимать, какая часть обновления затрагивает нужное (микрокод), а какая - ненужное.
> У Alpine ядро, как я понимаю, уже без grsecurity, но для Qubes
> dom0 это совершенно не важно и я говорил скорее об Alpine'овом
> минималистичном userland'е, а ядро всё равно какое в Qubes больше подойдет.
А, ты про то что Alpine "худенький". Его кстати с учётом этой "худобы" можно и в template-ах использовать, вместо Fedora/Debian.
> Owl на Qubes в HVM просто ставится из ISO'шки, как любая другая
> система. Без template, без какой-либо интеграции.
До чего прогресс дошёл (а может я когда крайний раз тестил Кубики просто пропустил эту возможность, ставить прям iso-шкой).
>Получается окошко с консолью и
> опционально доступ по ssh из некоторых других VM (лучше из одной).
> Похожесть на Fedora тут ни при чем.
А, понятно. А я думал это как-то связано.
> "Обычный просмотр статеек-роликов и зависание на форумах" потянет только в текстовой консоли,
> так как X'ов в Owl из коробки нет. Реальные применения: mutt,
> ssh оттуда на внешние сервера, сборка/использование чего-то консольного, подпись релизов.
> Всё это под разными аккаунтами там, без запуска под эти отдельные
> задачи целых VM'ок. OpenVZ-контейнеры с чем-то достаточно старым чтобы работало под
> тамошним OpenVZ/RHEL5 ядром (то есть Owl же и еще, например, CentOS
> 6). Поэтому "применения там Owl (если не добавлять много чего еще)
> очень ограничены."
А, понятно, жёсткую консоль я не осилю.
> Я не спец по системам сборки.
В любом случае, спасибо за подробные отеты.
Хотелось бы тебя ещё "помучить" расспросами про то что ты думаешь про https://ru.wikipedia.org/wiki/Subgraph_OS которая как написано на Вики "упоминается Эдвардом Сноуденом как потенциальный потенциал[8]." и про другие перспективные с точки зрения безопасности ОСи, которые ты сейчас котируешь как "безопасник", но возможно это будет уже слишком.