איך הניסיון להריץ מעבדת Malware גרם לי לעבור ל-Fedora Kinoite
מאת שי מרדכי | 30 בדצמבר 2025
כחוקר אבטחה, המחשב שלי הוא המעבדה שלי. כשהתחלתי לבנות מעבדת Malware Analysis מקומית, נתקלתי מהר מאוד ב-Bottlenecks חומרתיים: הצורך להריץ מספר VMs במקביל, יחד עם הסיוע של ה-AI שהוסיף רובד של ביצועים, "חנק" את ה-RAM וה-CPU שלי. חיפשתי מערכת הפעלה שתהיה קלה, מהירה, ובעיקר – מאובטחת.
המעבר ל-Fedora Kinoite: מעבר לביצועים
בתחילה, החיפוש היה אחר אופטימיזציה נטו. אבל כשעברתי ל-Fedora Kinoite, הסקרנות הארכיטקטונית השתלטה עלי. רציתי להבין את מנגנוני ה-Sandboxing, ה-OSTree, ורמות הבידוד של המערכת. מה שהתחיל כרצון לחסוך ב-RAM הפך למחקר מעמיק על הדרך שבה Linux מודרנית מנהלת את ה-System Stack שלה.
המסע לתוך ה-Internals: 5 רמות של בידוד
בחקירת המערכת, גיליתי שבידוד הוא לא רק מושג תיאורטי, אלא ה-Feature הכי חשוב ב-Kinoite. הבנתי שהמערכת בנויה משכבות הגנה שמאפשרות לי להריץ את סביבת המחקר שלי (כולל מחקר ה-Zero-Day שלי בקומפיילר ה-SBCL) בלי לפגוע במערכת ההפעלה הבסיסית:
- OSTree (Immutable System): מנגנון שמבטיח שקובצי המערכת הליבתיים לעולם לא משתנים ב-Runtime, מה שמונע מנוזקות לבצע Persistence ברמת ה-OS.
- Flatpak (User-space Isolation): בידוד אפליקציות ברמת ה-Sandbox, המונע גישה לא מורשית לקבצים רגישים.
- Podman/Distrobox: יצירת סביבות עבודה מבודדות בתוך Containers, המאפשרות לי להריץ כלים שונים בלי "ללכלך" את סביבת העבודה הראשית.
- Kernel Namespaces & Cgroups: השכבה הליבתית שמוודאת שלכל תהליך יש את המשאבים והחשיפה המוגבלים שלו.
- VM/Hypervisor (KVM): שכבת ההגנה האחרונה עבור ניתוח נוזקות אקטיביות, מבודדת לחלוטין מה-Host.
הסקרנות והרעב לחקור את הבידוד בכל רמה – מה-User Space ועד ה-Kernel – הם שהפכו אותי מ"משתמש לינוקס" לחוקר Internals. המעבדה הזו היא לא רק אוסף של כלים, אלא ניסוי ארכיטקטוני מתמשך שמלווה כל מחקר שאני מבצע.