Установка Whonix в QEMU/KVM. Импорт образов дисков и включение аппаратного ускорения

Приветствую, читающий. Это небольшая заметка по установке защищённой системы Whonix внутри QEMU/KVM. Использование этого гипервизора имеет несколько преимуществ по сравнению с VirtualBox от Oracle: повышенная безопасность, лучшее управление ресурсами компьютера и более быстрая/плавная работа гостевой системы.

Дополнительно рассмотрю процесс сборки QEMU с поддержкой аппаратного ускорения под Gentoo, однако в случае установки на другой дистрибутив такие манипуляции не потребуются.

Начнём!

1. Установка Virt-manager и QEMU c поддержкой аппаратного ускорения.

Для большинства дистрибутивов этот пункт не понадобится - просто установите пакеты virt-manager и qemu из репозитория вашей системы. Однако если вы используете систему на базе Gentoo, понадобятся некоторые манипуляции, чтобы собрать гипервизор с поддержкой OpenGL и 3D-ускорения.

Пропишем нужные флаги для app-emulation/qemu:

$ doas vim /etc/portage/package.use/qemu

....
app-emulation/qemu virgl opengl spice

Флаг virgl включает поддержку 3D-ускорения в драйвере Virtio. opengl обеспечивает поддержку OpenGL внутри виртуальной машины (по желанию). Последний флаг - spice - включает поддержку протокола для передачи видео и аудио - SPICE (Simple Protocol for Independent Computing Environments), который имеет ряд преимуществ перед стандартным VNC: поддержка аппаратного ускорения, передача буфера обмена между хостом и гостевой системой, динамическое изменение разрешения экрана и возможность перетаскивания файлов.

Далее установим virt-manager в нашу систему:

$ doas emerge -av app-emulation/virt-manager

P.S. Если вы используете утилиту для сканирования сети nmap, может возникнуть блокировка со стороны пакета net-analyzer/openbsd-netcat, который необходим для работы virt-manager. В этом случае пересоберите nmap с отключённой поддержкой ncat и symlink следующим образом:

$ doas vim /etc/portage/package.use/nmap

....
net-analyzer/nmap -ncat -symlink

$ doas emerge -av net-analyzer/nmap

2. Добавим пользователя в нужные группы и запустим демон libvirtd.

Добавление в группы:

doas gpasswd -a <username> kvm
doas gpasswd -a <username> libvirt

Автозапуск и старт libvirtd для OpenRC:

$ doas rc-update add libvirtd default
$ doas rc-service libvirtd start

Автозапуск и старт для systemd:

$ doas systemctl enable libvirtd
$ doas systemctl start libvirtd

3. Скачиваем архив с образами дисков и распаковываем.

Перейдите по данной ссылке и выкачайте архив.

Далее нужно распаковать образ в директорию. Вы можете указать любую удобную вам папку, однако в конфигурационном XML-файле виртуальной машины указан путь /var/lib/libvirt/images/. Он рекомендуется к использованию, поэтому сразу распакуем содержимое туда. Советую делать это на начальном этапе, без последующего перемещения дисков с помощью mv, так как при использовании этой утилиты диски теряют динамическую аллокацию и начинают занимать всё выделенное пространство (200 ГБ), что может оказаться неприятным сюрпризом.

$ doas tar -xvf Whonix*.libvirt.xz -C /var/lib/libvirt/images/

4. Поднимаем интерфейсы и импортируем виртуальные диски.

Перейдем в директорию с файлами:

$ doas su
# cd /var/lib/libvirt/images/

Зададим параметры сети по XML-файлам:

# virsh -c qemu:///system net-define Whonix_external*.xml
# virsh -c qemu:///system net-define Whonix_internal*.xml

Активируем виртуальные адаптеры:

# virsh -c qemu:///system net-autostart Whonix-External
# virsh -c qemu:///system net-start Whonix-External
# virsh -c qemu:///system net-autostart Whonix-Internal
# virsh -c qemu:///system net-start Whonix-Internal

Импортируем два .qcow2 файла в QEMU:

# virsh -c qemu:///system define Whonix-Gateway*.xml
# virsh -c qemu:///system define Whonix-Workstation*.xml

P.S. Не забудьте перейти в директорию с .qcow2-файлами и переименовать их в Whonix-Workstation.qcow2 и Whonix-Gateway.qcow2 соответственно, чтобы XML-файл конфигурации смог найти диски. Либо отредактируйте XML-файл, указав в нём исходные имена файлов.

Откройте virt-manager, и если вы увидите две новые виртуальные машины - значит, всё прошло успешно!

5. Настройка параметров виртуальных машин и запуск.

Начнём с Whonix-Gateway. Эта виртуалка отвечает за весь сетевой трафик и служит шлюзом для Whonix-Workstation.

В случае с Whonix-Gateway все нижесказанные рекомендации являются лишь оптимизациями, но они могут сэкономить вам немного ресурсов.

В пункте "OS Information" укажите Debian 12. Это даст гипервизору понимание о том, с какой системой он работает. Для обработки интернет-трафика будет достаточно 1 ядра процессора и 1 ГБ оперативной памяти. Эти параметры можно настроить в разделах "CPUs" и "Memory".

Далее перейдём к настройке Whonix-Workstation, в которой мы и будем работать с прикладным ПО.

Задайте количество ядер процессора (если ресурсы позволяют, можно выделить 6 или даже 8 ядер). С оперативной памятью также не стоит экономить: внутри будет работать Xfce и различный графический софт, который требует достаточно много памяти. Я выделяю 8 ГБ для виртуальной машины - этого обычно хватает.

Теперь рассмотрим момент аппаратного ускорения.

Перейдите в пункт "Display Spice" и выберите тип "Spice server". Если вы всё правильно настроили, внизу появится галочка для включения поддержки OpenGL. Включите её и выберите в списке свою видеокарту. В поле "Listen type" выберите "None", иначе вылезет ошибка.

Нажмите на пункт "Video Virtio" и выберите драйвер "Virtio". Только этот драйвер поддерживает аппаратное ускорение. Не забудьте поставить галочку для включения 3D-ускорения.

Сохраним настройки и запустим виртуальные машины: сначала Gateway, затем Workstation.

Поздравляю! Мы настроили Whonix для QEMU/KVM. Надеюсь, этот материал был для вас полезен. Приятного утра, дня, вечера или ночи!