Qubes OS安装需严格遵循硬件虚拟化启用、USB介质制作、UEFI-only启动及Dom0验证四步流程。须开启VT-x/VT-d、禁用Secure Boot、用DD模式写入镜像、禁用全盘加密、设UEFI启动、调高显存,并通过qvm-ls/xl list确认Dom0与默认qube运行状态。
如果您希望部署一个以硬件级隔离和多域安全模型著称的操作系统,Qubes OS 的安装过程需严格遵循其架构特性。以下是完成 Qubes OS 安装的关键步骤:
一、准备安装环境与介质
Qubes OS 依赖 Xen 虚拟化及 CPU 硬件虚拟化支持(如 Intel VT-x 和 VT-d),必须在 BIOS/UEFI 中启用这些功能,并将启动顺序设为 USB 优先。安装介质需为可引导的 USB 设备,且镜像完整性须经 GPG 验证。
1、按下主机开机时提示的键(常见为 F2、Del 或 F10)进入 BIOS/UEFI 设置界面。
2、在“Advanced”或“Security”选项中启用 Intel VT-x、VT-d(或 AMD-V、IOMMU),并关闭 Secure Boot(部分版本暂不兼容)。
3、使用 Rufus(Windows)或 Etcher(Linux/macOS) 将官方下载的 ISO 写入 USB,选择“DD 模式”而非 ISO 模式。
4、从该 USB 启动后,在 GRUB 菜单中选择 “Test this media & install Qubes” 并回车。
二、执行图形化安装流程
安装程序基于 Anaconda,提供交互式向导。关键配置点在于磁盘分区策略、加密开关与用户账户初始化,所有操作均直接影响 Dom0 的可信基。
1、在语言选择界面点击 English → Continue。
2、进入“INSTALLATION DESTINATION”,勾选目标磁盘,点击左下角 Done。
3、在弹出窗口中,取消勾选 “Encrypt my data”(Qubes 不推荐全盘加密,因其 Dom0 不应存储用户数据)。
4、返回主界面,点击 Begin Installation 启动安装进程。
5、在安装过程中出现的“USER SETTINGS”页,设置 root 密码,并点击 USER CREATION 创建首个标准用户(该用户将拥有 qubes 用户组权限)。
三、配置 BIOS 兼容性与首次启动
部分新平台(尤其是搭载 Intel 12/13/14 代 CPU 或 AMD Ryzen 7000+ 的设备)需额外调整固件参数,否则可能导致 Dom0 启动失败或 Xen 初始化异常。
1、重启进入 BIOS/UEFI,定位至 “Boot Mode” 或 “CSM” 选项,强制设为 UEFI Only(禁用 Legacy/CSM)。
2、查找 “DVMT Pre-Allocated Memory” 或 “Graphics Aperture Size”,将其调至 64MB 或更高(保障 GUI 域显存分配)。
3、保存设置并退出,插入已安装完成的硬盘启动。
4、首次启动后,系统将自动加载 QUBES OS 图标并进入初始设置向导,此时 Dom0 已运行于 Xen Hypervisor 之上。
四、验证 Dom0 与基础 qube 运行状态
安装完成后需立即确认核心虚拟化组件是否就绪,包括 Dom0 的 Xen 控制能力、默认 TemplateVM 是否可用,以及基础 AppVM 创建功能是否正常。
1、登录 Dom0 图形界面,打开终端,执行 qvm-ls 查看当前所有 qube 列表,应包含 dom0、fedora-XX(模板)、sys-firewall、sys-net 等默认条目。
2、运行 xl list 验证 Xen 域状态,Dom0 应显示为 running,其余系统 qube 状态为 paused 或 running。
3、在 Qubes Manager 中右键点击 sys-net,选择 Start qube;若状态变为绿色运行中,则网络栈已激活。
4、执行 qvm-create --class AppVM --label blue test-app --template fedora-XX 创建测试 AppVM,随后右键启动验证模板继承机制。
