Qubes OS 非公式セットアップガイド Step1: インストール

さて、Step0でインストールメディアの作成までできたことと思います。Step1では実際にコンピューターにQubes OSをインストールしていきます。ISOファイルの検証はサボらずにしましたよね？やっていない場合はStep0をもう一度やり直してください。

このガイドではLenovo ThinkPad X270にQubes OSをインストールしていきます。

BIOSの設定を変更する

Qubes OSはCPUの仮想化支援機能を使用しています。この機能は最近のコンピューターですと大抵オンになっているのですが、モデルによってはオフのものもあるようなのでBIOSの設定画面からオンになっているか確認しておきましょう。Intel VTやIntel VT-d、AMDですとIOMMUなどの名前になっているようです。ついでにQubes OSは現状セキュアブート非対応なのでセキュアブートもオフにします。その他にもネットワークスタックや使用しないペリフェラルなどもオフにしておきましょう。

起動モードも確認しておきましょう。Qubes OSはUEFIブートに対応しているので、UEFI対応のコンピューターではレガシーBIOS互換のモードではなくUEFIネイティブの起動ができるように設定することを推奨します。

インストールを開始する

ではいよいよインストール開始です。インストールメディアを接続し、コンピューターを起動します。メーカー毎に決まっているブートメニューを表示するキー（LenovoはF12）を押して、インストールメディアから起動するように指定します。成功すれば次のような画面が表示されます。

Install Qubes OS R4.2.0-rc1を選択します。最新モデルのコンピューターを使用しているなど、この方法でうまく動作しない場合は一番下のInstall Qubes OS R4.2.0-rc1 using kernel-latestを選択してみてください。選択してEnterを押すとインストーラーの起動処理が始まります。起動処理が終わると言語選択画面が表示されます。

日本語を選択して右下の続行ボタンを押します。すると設定項目の一覧画面が表示されます。まず、最初にタイムゾーンを選択します。日付と時刻をクリックして、

世界地図の日本をクリックします。すると地域：アジア、都市：東京がセットされるので、完了ボタンを押します。

次はインストール先をクリックします。インストール先デバイスの選択画面が表示されるので、

ストレージの設定→カスタムを選択し、完了をクリックします。するとパーティションの選択画面が表示されます。標準ではLVMシンプロビジョニングが使用されるのですが、せっかくなのでBTRFSでセットアップします。BTRFSの構成もサポートされているので安心してください。

BTRFSを選択し、データを暗号化するにチェックを入れます。（暗号化は当然ですよね？）次は、既存の不要なパーティションを全て削除します。不明というところをクリックしてパーティションのリストを表示し、左下のマイナスボタンでパーティションを削除していきます。

すべてのパーティションを削除すれば、左下の使用できる領域とすべての領域の値が一致するはずです。

さて、不要なパーティションの削除が終わったのでQubes用のパーティションを作成しましょう。「ここをクリックすると自動的に作成します」をクリックして、パーティションを作成してください。作成ができると次のような画面になります。

左上の完了を押すとディスク暗号化のパスワード入力画面が表示されます。十分な長さで推測されない強力なパスワードを入力しましょう。著者のメインPCはパスワード120桁です。

最後に最終確認画面が出るのでOKして次はユーザー作成を行います。ユーザーの作成をクリックして、

ユーザー名とパスワードを入力してください。紛らわしいのですが、このパスワードはロック画面を解除する際に使用するパスワードで、ディスク暗号化のパスワードとは別の物です。こちらは程々の強度のもので構いません。フルネームは空欄、ユーザー名はOPSECの観点から「user」などが好ましいと思います。

さて、設定の第一段階が終わりました。rootアカウントは無効のままで構いませんし、その他にも触れてない設定項目はデフォルトのままで問題ないでしょう。設定が終わると次のような状態になっているはずです。

設定が終わったことを確認したら、インストールの開始をクリックしましょう。インストールにはしばらくかかるので、休憩を取るのもよいでしょう。インストールが終わると再起動ボタンが押せるようになるので押して再起動します。インストール用メディアは不要なので取り外して構いません。

再起動後はディスク暗号化のパスワード入力画面が現れるので、パスワードを入力してください。入力して少し待つと、第二段階の設定画面が表示されます。

中央のQubes OSというところをクリックしてください。次のような画面になるはずです。

何だか難しそうな設定画面が登場しました。ここでは推奨する設定も含め簡単に解説します。

• Installation:: どのディストリビューションをインストールするか設定します。Qubes OSの標準ディストリビューションはFedoraなので、Fedoraはチェックすることを推奨します。Debianはお好みで、WhonixはTorを使う場合はオンにしましょう。DebianやWhonixはあとからインストールすることもできます。
• Default:: システムの標準ディストリビューションを設定します。トラブルを減らすためにもQubes標準のFedoraを設定することを推奨します。
• Create default system qubes (sys-net, sys-firewall, default DispVM): ネットワーク接続の機能に必要なqubeなど、必須といえるqubeを作成します。特別な理由がない限りオンにしてください。
• Make sys-firewall and sys-usb disposable: ファイアウォールとUSBを扱うqubeが再起動毎にリセットされるようにします。リセットする方が高セキュリティです。通常の使用ではリセットにデメリットはないのでオンにすることを推奨します。
• Make sys-net disposable: ネットワークを扱うqubeが再起動毎にリセットされるようにします。一つ上の設定（sys-fireallとsys-usb）と違って、状況によってはオフの方がいい場合があります。それはWi-Fi経由でインターネットに接続する場合です。この設定をオンにすると、再起動毎にWi-Fiのパスワードを入れる必要が発生します。なので、普段有線でネット接続する場合はオンに、普段無線でネット接続する場合はオフにすることを推奨します。オンの方が高セキュリティです。
• Create default application qubes: プリセットとして用意されたqubeを展開するか選べます。インストール後にすぐ使い始めたい場合はオンにするとよいでしょう。これはセキュリティとは特に関係ありません。
• Use a qube to hold all USB controllers: USBをセキュアに扱う専用のqube（USB qube）を作成するか選べます。これをオンにするとUSB関連のセキュリティが大幅に向上するのでオンがお勧めなのですが、この機能を使用できない状況も存在するので注意が必要です。あなたのコンピューターがデスクトップ機で、キーボードがUSB接続の場合にはこれをオンにできない可能性があります。詳しくはフォーラム等で質問してください。公式の文書も確認してください。それ以外の場合はオンが推奨されます。
• Use sys-net qube for both networking and USB devices: これをオンにするとsys-netというネットワーク用のqubeがUSBの処理も担うようになります。この設定はUSB-イーサネットアダプタやUSB-Wi-Fi子機などを使用するユーザーのためのものです。インターネット接続にそれらの機器が必要な場合はオンに、それ以外の場合にはオフにしてください。オフにすると多少セキュリティが向上します。
• Automatically accept USB mice: USB qubeを設定したシステムで、USB接続のマウスを使用すると通常は接続する毎に確認が求められるのですが、これをオンにするとその確認をスキップできるようになります。ただし、BadUSB攻撃によってシステムを勝手に操作させられる可能性が多少出てきますので、オンにする場合は個人の判断で行ってください。USB接続のマウスを使用していない（ラップトップのタッチパッドを使用する等）場合はオフのままにしてください。
• Automatically accept USB keyboard: 上記のUSBキーボード版です。一つ違うのが、こちらはBadUSBを食らった際のリスクがかなり高くなるという点です。ラップトップのキーボード等を使う場合は必ずオフに、そうでない場合も多少面倒でもオフにすることを推奨します。
• Create Whonix Gateway and Workstation qubes: Whonixが使用するqubeを作成します。WhonixやTorを使いたい場合はオンに、そうでない場合はオフにしましょう。
• Enable system and template updates over the Tor anonymity network using Whonix: システムやディストリビューションの更新のダウンロードをTor経由で行うか選択できます。Torを使わないといけないような監視下のネットワークにある人はオンにしたほうがよいかも知れませんが、これをオンにすると更新に時間がかかるようになるのでデメリットもあります。日本に住んでいる一般の方はオフでよいと思います。
• Do not configure anything: 何も設定しないという上級者向けの設定です。オンにしないでください。

設定が終わったら左上から設定を完了しましょう。第二段階のインストール作業が始まります。これにはしばらくかかります。作業が完了するとログイン画面が表示されます。パスワードを入力してログインしてください。これでインストールは完了です。お疲れさまでした。

作業を終える前に必ずStep2を実行してください。セキュリティを維持するには継続的なシステムのメンテナンスが重要です。