Обновление ОС Qubes 4.1.1, использующей виртуализацию для изоляции приложений

19.07.2022 13:09

Сформировано обновление операционной системы Qubes 4.1.1, реализующей идею использования гипервизора для строгой изоляции приложений и компонентов ОС (каждый класс приложений и системные сервисы работают в отдельных виртуальных машинах). Для работы необходима система с 6 Гб ОЗУ и 64-разрядным CPU Intel или AMD с поддержкой технологий VT-x c EPT/AMD-v c RVI и VT-d/AMD IOMMU, желательно наличие GPU Intel (GPU NVIDIA и AMD недостаточно хорошо протестированы). Размер установочного образа - 5.5 ГБ.

Приложения в Qubes разделены на классы в зависимости от важности обрабатываемых данных и решаемых задач. Каждый класс приложений (например, работа, развлечения, банковские операции), а также системные сервисы (сетевая подсистема, межсетевой экран, работа с хранилищем, USB-стек и т.п.), работают в отдельных виртуальных машинах, запускаемых с использованием гипервизора Xen. При этом указанные приложения доступны в рамках одного рабочего стола и выделяются для наглядности разным цветом обрамления окна. Каждое окружение имеет доступ на чтение к базовой корневой ФС и локальному хранилищу, не пересекающемуся с хранилищами других окружений, для организации взаимодействия приложений используется специальный сервис.

В качестве основы для формирования виртуальных окружений может применяться пакетная база Fedora и Debian, также сообществом поддерживаются шаблоны для Ubuntu, Gentoo и Arch Linux. Возможна организация доступа к приложениям в виртуальной машине с Windows, а также создание виртуальных машин на базе Whonix для обеспечения анонимного доступа через Tor. Пользовательская оболочка построена на основе Xfce. Когда пользователь запускает из меню приложение, это приложение стартует в определенной виртуальной машине. Содержание виртуальных окружений определяется набором шаблонов.

В новом выпуске отмечено только обновление версий программ, формирующих базовое системное окружение (dom0). Подготовлен шаблон для формирования виртуальных окружений на базе Fedora 36. По умолчанию предложено ядро Linux 5.15. На 4 августа запланировано прекращение сопровождения ветки Qubes 4.0, пользователям старой ветки рекомендуется перейти на использование Qubes 4.1.

исправить +8 +/–

Лицензия: CC BY 3.0

Короткая ссылка: https://opennet.ru/57521-qubes

Ключевые слова: qubes

При перепечатке указание ссылки на opennet.ru обязательно

Обсуждение (25)

1.1, Аноним (-), 13:25, 19/07/2022 [ответить] [﹢﹢﹢] [ · · · ]	+2 +/–
Идея неплохая, но наличие такой уязвимости как systemd рушит всю систему. Так что только вручную делать через virt-manager.

2.2, Alladin (?), 13:37, 19/07/2022 [^] [^^] [^^^] [ответить]	–7 +/–
Идея мега хрень, контейнеры лучше.

3.3, llolik (ok), 13:46, 19/07/2022 [^] [^^] [^^^] [ответить]	+/–
Когда проект выпустился (2010г.), ещё только появился LXC (2008г.). Популяризировавший контейнеры docker появился на три года позже (2013г.).

4.10, n00by (ok), 17:00, 19/07/2022 [^] [^^] [^^^] [ответить]	+/–
Проект появился на волне шумихи вокруг BluePill и RedPill, как логичное развитие тех идей на фоне изменения состава команды.

5.13, llolik (ok), 18:46, 19/07/2022 [^] [^^] [^^^] [ответить]	+/–
> Проект появился на волне шумихи вокруг BluePill и RedPill, как логичное развитие > тех идей на фоне изменения состава команды. Ну да, смутно вспоминаю, что Йоанна там что-то показывала на Black Hat 2006. Я-то в разрезе того, что на момент, когда появились кубы, контейнеры ещё только начали появляться и были довольно нишевой технологией, пока не выстрелил docker (когда собственно допилили user_namespases в 2013-ом).

4.17, Минона (ok), 20:12, 19/07/2022 [^] [^^] [^^^] [ответить]	+1 +/–
“Jails were first introduced in FreeBSD version 4.0, that was released on March 14, 2000.” “ Solaris Containers (including Solaris Zones) is an implementation of operating system-level virtualization technology for x86 and SPARC systems, first released publicly in February 2004 in build 51 beta of Solaris 10, and subsequently in the first full release of Solaris 10, 2005.”

3.4, microsoft (?), 14:58, 19/07/2022 [^] [^^] [^^^] [ответить]	+2 +/–
Контейнеры это еще хуже.

3.6, Аноним (-), 15:18, 19/07/2022 [^] [^^] [^^^] [ответить]	+2 +/–
Экзоядро с capability-based security лучше.

3.11, anonymous (??), 17:40, 19/07/2022 [^] [^^] [^^^] [ответить]	–1 +/–
Чем?

4.23, Аноним (23), 00:19, 20/07/2022 [^] [^^] [^^^] [ответить]	+1 +/–
чем идея.

3.14, Аноним (14), 18:50, 19/07/2022 [^] [^^] [^^^] [ответить]	+/–
Сразу видно человека не разбирающегося в теме

2.30, Аноним (30), 17:06, 22/07/2022 [^] [^^] [^^^] [ответить]	+/–
> наличие такой уязвимости как systemd рушит всю систем Ссылочку на баг-репорт или CVE не подкинешь? А то создаётся впечатление, что ты этот комментарий написал чтобы плюсиков срубить.

1.5, Аноним (5), 15:08, 19/07/2022 [ответить] [﹢﹢﹢] [ · · · ]	–2 +/–
дистрибутив вообще то расчитан на тотальных параноиков от одноименной секты.

2.18, Аноним (18), 20:31, 19/07/2022 [^] [^^] [^^^] [ответить]	+5 +/–
Думаю, что мы уже научились тому, что параноики очень часто оказываются правы...

3.28, Анонимомус (?), 17:37, 20/07/2022 [^] [^^] [^^^] [ответить]	–1 +/–
Значит анальные зонды инопланетян, масоны и плоская земля - это все правда?

1.15, Аноним (15), 19:21, 19/07/2022 [ответить] [﹢﹢﹢] [ · · · ]	+4 +/–
Эх, после ухода Рутковской развитие замедлилось.

1.16, Аноним (16), 19:40, 19/07/2022 [ответить] [﹢﹢﹢] [ · · · ]	+2 +/–
Защищенный режим проца, который появился в 80286 - по сути та же виртуализация. Так что ничего нового.

2.19, Аноним (18), 20:34, 19/07/2022 [^] [^^] [^^^] [ответить]	+1 +/–
Всё время находятся те кто пытается новую виртуализацию сверху старой нагородить, помойму это изначально не очень подход...

3.21, Аноним (23), 23:18, 19/07/2022 [^] [^^] [^^^] [ответить]	+1 +/–
На самом деле тот настоящий сегментный защищённый режим сейчас как раз нигде и не используют, есть только защита на уровне страничной трансляции (с вытекающими из неё мельдониями и спектрами).

3.25, Женя (??), 11:34, 20/07/2022 [^] [^^] [^^^] [ответить]	+/–
Тонны легаси сами себя не перепишут (потому что никто не знает, как оно всё работает). Остается только городить новые слои абстракции

1.22, Аноним (22), 23:21, 19/07/2022 [ответить] [﹢﹢﹢] [ · · · ]	+1 +/–
Интересно, а можно под кубес-ос в Xen Dom-U поставить фрибзду, чтобы потом в ней включить линуксатор и в убунтовском корне гонять браузеры? Заодно и решится проблема с непросыпающимся интел-войфаем.

2.27, annon (?), 16:48, 20/07/2022 [^] [^^] [^^^] [ответить]	+/–
Можно, но не удобно, поскольку на рабочем столе будет открываться окно виртуальной машины, а не приложения (firefox) Для интеграции окон виртуальной машине нужен пакет qubes-tools.

1.24, Аноним (24), 07:06, 20/07/2022 [ответить] [﹢﹢﹢] [ · · · ]	+/–
"already includes a Fedora 36 template by default" - хм, перестали протухшие версии совать, свежее это ъорошо.

1.26, beck (??), 11:48, 20/07/2022 [ответить] [﹢﹢﹢] [ · · · ]

+1 +/–

Не очень понимаю, где там "защищённость". Используются ровно те же механизмы, что и для "обычной" виртуализации, соответственно, ровно те же проблемы и уязвимости.

Возможность навесить несколько приложений с разными настройками для дома/работы/ещё чего-то, могу понять, но это такое себе достоинство, тем более что конфигурация всего этого ничуть не проще разворачивания обычной виртуалки.

1.29, InuYasha (??), 15:58, 21/07/2022 [ответить] [﹢﹢﹢] [ · · · ]	+/–
Разработчиков изоляторов нужно изолировать.

игнорирование участников | лог модерирования

Добавить комментарий

Текст: