Nitrux 6.0 refuerza seguridad, virtualizaciĆ³n y rescate del sistema

  • Nitrux 6.0 apuesta por un sistema de archivos inmutable y nuevas herramientas de seguridad orientadas a equipos de escritorio potentes.
  • Incluye VxM, un orquestador de hipervisores con passthrough de GPU e aislamiento mediante IOMMU para ejecutar mĆ”quinas virtuales con menos riesgos.
  • El sistema de actualizaciones se reescribe en C++ con verificaciĆ³n criptogrĆ”fica, creaciĆ³n de instantĆ”neas XFS y opciĆ³n de recuperaciĆ³n sin medios externos.
  • Se incorporan mejoras en Wayland, selecciĆ³n del driver Intel Xe, endurecimiento de red y actualizaciĆ³n de componentes clave del sistema.
Pablinux

8 minutos

Nitrux 6.0

Nitrux 6.0 llega como una de las versiones mĆ”s ambiciosas de esta distribuciĆ³n basada en Linux, con un enfoque claro en la seguridad, la virtualizaciĆ³n y la fiabilidad del sistema. La nueva ediciĆ³n, mantenida por Nitrux Latinoamericana, estĆ” pensada para quienes utilizan el ordenador como estaciĆ³n de trabajo principal y quieren exprimir el hardware sin descuidar las capas de protecciĆ³n.

La distribuciĆ³n se apoya en un sistema de archivos raĆ­z inmutable, lo que dificulta modificaciones no autorizadas y facilita las tareas de mantenimiento. AdemĆ”s, ofrece dos imĆ”genes ISO diferenciadas: una variante optimizada para tarjetas grĆ”ficas NVIDIA con el controlador NVIDIA Open Kernel Module 590.48.01, y otra dirigida a equipos con GPU AMD o Intel utilizando MESA 25.3.3, todo ello sobre un kernel Linux 6.13.2 parcheado con mejoras procedentes de CachyOS.

Un sistema orientado a entusiastas de hardware

La propuesta de Nitrux 6.0 puede encajar especialmente bien en el perfil de usuarios avanzados y profesionales que requieren entornos de desarrollo, virtualizaciĆ³n o ediciĆ³n grĆ”fica sobre Linux con un nivel de aislamiento superior. El modelo de raĆ­z inmutable, combinado con las nuevas herramientas de actualizaciĆ³n y rescate, apunta a escenarios donde la estabilidad resulta tan importante como la capacidad de experimentar con configuraciones exigentes.

Para hardware de sobremesa y estaciones de trabajo, la posibilidad de elegir entre la ISO enfocada a tanto NVIDIA como a soluciones AMD/Intel facilita adaptar la instalaciĆ³n a distintos parques de equipos, algo relevante en oficinas mixtas o en laboratorios universitarios donde conviven varias generaciones de GPU.

VxM: orquestaciĆ³n de hipervisores con passthrough de GPU en Nitrux 6.0

Una de las grandes novedades es VxM, la herramienta de orquestaciĆ³n de hipervisores que debuta en esta versiĆ³n. Desarrollada en C++, permite ejecutar varios sistemas invitados aprovechando el passthrough de GPU mediante VFIO PCI, de forma que la tarjeta grĆ”fica se asigna directamente a la mĆ”quina virtual para maximizar el rendimiento.

VxM valida en tiempo real los grupos IOMMU, lo que refuerza el aislamiento a nivel de hardware entre el sistema anfitriĆ³n y los sistemas invitados. Este enfoque reduce la superficie de ataque frente a errores de configuraciĆ³n habituales en entornos de virtualizaciĆ³n donde se comparte GPU, un punto de interĆ©s para quienes trabajan con datos sensibles o pruebas de seguridad.

El sistema de passthrough incluye asignaciĆ³n dinĆ”mica a vfio-pci, con anulaciĆ³n de controladores en caliente, normalizaciĆ³n de identificadores BDF y comprobaciĆ³n previa de los grupos IOMMU antes de realizar el enlace. AdemĆ”s, VxM se encarga de aprovisionar hugepages para mejorar el rendimiento de memoria y de inicializar IVSHMEM, lo que facilita un intercambio de frames de baja latencia entre anfitriĆ³n e invitado.

Otro aspecto destacable es el modelo sin privilegios durante la ejecuciĆ³n de las mĆ”quinas virtuales: QEMU se ejecuta sin permisos elevados, concentrando las operaciones privilegiadas en una fase previa de preparaciĆ³n del hardware. Con ello se busca reducir los riesgos asociados a la ejecuciĆ³n continuada de procesos con derechos de administrador.

Para la gestiĆ³n de perifĆ©ricos, VxM recurre al uso de evdev para el passthrough de entrada, con tratamiento de interrupciones para teclado y ratĆ³n. TambiĆ©n automatiza cambios de entrada de vĆ­deo mediante DDC/CI, enviando comandos VCP al monitor cuando varĆ­a el estado de la mĆ”quina virtual. En la prĆ”ctica, este detalle puede ahorrar tener que usar conmutadores fĆ­sicos (KVM) en equipos con varias GPU o monitores compartidos.

Nitrux 6.0 introduce nuevo sistema de actualizaciones en C++ con verificaciĆ³n criptogrĆ”fica

Todas las acciones que requieren privilegios altos se someten a control mediante PolicyKit, de forma que las decisiones sensibles (como aplicar cambios en el sistema base) deben pasar por una capa de autorizaciĆ³n clara. Este diseƱo ayuda a limitar el impacto de ejecuciones involuntarias o de software que trate de escalar privilegios aprovechando el mecanismo de actualizaciĆ³n.

El sistema apuesta por operaciones atĆ³micas para preservar la integridad de las transacciones de actualizaciĆ³n, reduciendo el riesgo de estados intermedios corruptos. Durante el proceso se crean instantĆ”neas XFS que se validan criptogrĆ”ficamente antes de usarse, y que ademĆ”s permiten realizar reversiones sin conexiĆ³n a partir de esos puntos de restauraciĆ³n.

Nitrux 6.0 mantiene todavĆ­a una ruta de actualizaciĆ³n desde la versiĆ³n 5.1.0 empleando el antiguo sistema en Shell, pero se indica que serĆ” la Ćŗltima vez que se use dicho mecanismo. A partir de esta versiĆ³n, nuts-cpp pasa a ser el pilar principal para el mantenimiento del sistema.

Rescue Mode integrado en el arranque de Nitrux 6.0

Otro de los cambios pensados para mejorar la resiliencia del sistema es Nitrux Rescue Mode, un mecanismo de recuperaciĆ³n basado en initramfs que funciona sin necesidad de recurrir a medios externos como USB o imĆ”genes Live. Esta decisiĆ³n puede resultar especialmente Ćŗtil en empresas o administraciones con polĆ­ticas que restringen el uso de dispositivos extraĆ­bles.

El modo de rescate utiliza la copia de seguridad XFS generada por el sistema de actualizaciones para borrar y reimaginar la particiĆ³n raĆ­z. Al finalizar, se regenera automĆ”ticamente la configuraciĆ³n del gestor de arranque, evitando tener que realizar pasos manuales complejos para devolver el sistema a un estado funcional.

Este mecanismo se presenta en el propio menĆŗ de GRUB como una entrada seleccionable, de modo que, ante un fallo grave o un arranque fallido tras una actualizaciĆ³n, el usuario puede iniciar el proceso de restauraciĆ³n desde el mismo equipo, sin depender de otro ordenador o de haber preparado con antelaciĆ³n un USB de rescate.

Ajustes de red y endurecimiento del kernel

En el apartado de seguridad de red, Nitrux 6.0 introduce cambios especĆ­ficos en la configuraciĆ³n de parĆ”metros sysctl para la pila de red. Entre ellos, destaca la decisiĆ³n de impedir que el sistema modifique su tabla de rutas en funciĆ³n de mensajes de red no autenticados, una medida que reduce la exposiciĆ³n a ciertos vectores de manipulaciĆ³n del enrutamiento.

TambiĆ©n se ha ajustado la configuraciĆ³n de las unidades NVMe para evitar que entren en estados de ahorro de energĆ­a demasiado profundos, que en versiones anteriores podĆ­an provocar bloqueos o retrasos notables en el arranque al intentar reactivar la unidad. Con este cambio, se busca un equilibrio mĆ”s predecible entre consumo y tiempos de inicio de sesiĆ³n.

En cuanto al subsistema de resoluciĆ³n de nombres, la distribuciĆ³n actualiza la configuraciĆ³n de DNSCrypt-proxy con los resolutores mĆ”s recientes, lo que no solo mejora la compatibilidad sino que puede incrementar la privacidad y la robustez frente a manipulaciones DNS. AdemĆ”s, el initramfs pasa a incluir el controlador exfat desde el arranque temprano, y se sustituyen los ganchos de microcĆ³digo originales por una implementaciĆ³n propia adaptada a las necesidades de la distribuciĆ³n.

Login y notificaciones pensados para Wayland

En el terreno del escritorio, el antiguo QtGreet deja paso a QMLGreet como pantalla de inicio de sesiĆ³n. Esta nueva soluciĆ³n se ejecuta de forma nativa sobre compositores Wayland utilizando el protocolo wlr-layer-shell-unstable-v1, integrĆ”ndose a la vez con logind o elogind mediante D-Bus, sin depender estrictamente de systemd.

La implementaciĆ³n en C++ y MauiKit permite una personalizaciĆ³n notable: esquemas de color, tipografĆ­as, temas de iconos y fondos, todo ello con efectos de desenfoque aplicados automĆ”ticamente al wallpaper. Para quienes administran varios puestos de trabajo, disponer de un gestor de inicio consistente en Wayland simplifica el despliegue de entornos mĆ”s modernos.

A esta renovaciĆ³n se suma NudgeOSD, una herramienta tipo on-screen display escrita en QML que se ejecuta en segundo plano. Escucha Ć³rdenes por D-Bus para mostrar notificaciones o atajos de teclado y es compatible tanto con temas de iconos del sistema como con colecciones Nerd Fonts, algo apreciado por usuarios que personalizan a fondo su entorno grĆ”fico.

Nuevo modo Intel Xe para GPUs integradas y dedicadas

Nitrux 6.0 aƱade una opciĆ³n especĆ­fica en el menĆŗ de GRUB denominada Ā«Intel Xe ModeĀ», pensada para equipos con GPUs integradas y dedicadas de Ćŗltima generaciĆ³n de Intel. Esta entrada permite seleccionar el controlador xe en lugar del clĆ”sico i915, aprovechando las mejoras de la nueva pila grĆ”fica.

El modo estĆ” disponible para hardware compatible como Gen12 (Xe-LP), Meteor Lake (Xe-LPG) y Lunar Lake con Xe2. Por el contrario, las generaciones anteriores a Gen12, incluidas Ice Lake o las series Skylake, quedan fuera de este camino de controlador y continĆŗan utilizando el enfoque tradicional.

Para usuarios que adopten portĆ”tiles o sobremesas recientes con grĆ”ficos Intel, esta opciĆ³n facilita comprobar el rendimiento y estabilidad del nuevo driver sin tener que recurrir a configuraciones manuales complejas, manteniendo al mismo tiempo la posibilidad de volver a la ruta anterior si fuese necesario.

Versiones actualizadas de componentes clave

MĆ”s allĆ” de las grandes novedades, la distribuciĆ³n incorpora un conjunto amplio de componentes actualizados. En el apartado del escritorio dinĆ”mico, Hyprland alcanza la versiĆ³n 0.53.3, mientras que Flatpak se sitĆŗa en la 1.16.2, algo relevante para quienes dependen de aplicaciones en formato sandbox.

En el terreno de conectividad y audio, Nitrux 6.0 incluye NetworkManager 1.54.3 y Wireplumber 0.5.13, reforzando la gestiĆ³n de redes y el enrutamiento de audio en sistemas modernos. Python se actualiza a la versiĆ³n 3.13.9, un punto de interĆ©s para desarrolladores que trabajan con entornos virtuales y proyectos que requieren intĆ©rpretes recientes.

El instalador grĆ”fico Calamares llega a la versiĆ³n 3.3.14, mientras que Distrobox se actualiza a la 1.8.2.4, facilitando la ejecuciĆ³n de contenedores de otras distribuciones dentro de Nitrux. Por su parte, el planificador scx y sus utilidades se elevan a la versiĆ³n 1.0.20, con ajustes destinados a mejorar la gestiĆ³n de cargas de trabajo en el kernel.

Con este conjunto de cambios, Nitrux 6.0 se perfila como una opciĆ³n orientada a quienes necesitan un entorno Linux de escritorio sĆ³lido pero flexible, capaz de ofrecer aislamiento en la virtualizaciĆ³n con GPU, mecanismos de recuperaciĆ³n integrados y un sistema de actualizaciones mĆ”s robusto. Todo ello se combina con un escritorio centrado en Wayland y un abanico de componentes renovados, lo que sitĆŗa a la distribuciĆ³n en una posiciĆ³n interesante para usuarios avanzados y entornos profesionales.

Nitrux 5.1
ArtĆ­culo relacionado:
Nitrux 5.1 se lanza como actualizaciĆ³n estable con kernel Linux 6.18 LTS parcheado por CachyOS.