The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

Обновление ОС Qubes 4.0.4, использующей виртуализацию для изоляции приложений

05.03.2021 21:43

Сформировано обновление операционной системы Qubes 4.0.4, реализующей идею использования гипервизора для строгой изоляции приложений и компонентов ОС (каждый класс приложений и системные сервисы работают в отдельных виртуальных машинах). Для загрузки подготовлен установочный образ размером 4.9 ГБ. Для работы необходима система с 4 Гб ОЗУ и 64-разрядным CPU Intel или AMD с поддержкой технологий VT-x c EPT/AMD-v c RVI и VT-d/AMD IOMMU, желательно наличие GPU Intel (GPU NVIDIA и AMD недостаточно хорошо протестированы).

Приложения в Qubes разделены на классы в зависимости от важности обрабатываемых данных и решаемых задач, каждый класс приложений, а также системные сервисы (сетевая подсистема, работа с хранилищем и т.п.), запускается в отдельной виртуальной машине. Когда пользователь запускает из меню приложение, это приложение стартует в определенной виртуальной машине, в котором выполняется отдельный X-сервер, упрощённый оконный менеджер и видеодрайвер-заглушка, транслирующий вывод в управляющее окружение в композитном режиме. При этом приложения бесшовно доступны в рамках одного рабочего стола и выделяются для наглядности разным цветом обрамления окна. Каждое окружение имеет доступ на чтение к базовой корневой ФС и локальному хранилищу, не пересекающемуся с хранилищами других окружений. Пользовательская оболочка построена на основе Xfce.

В новом выпуске отмечено только обновление версий программ, формирующих базовое системное окружение (dom0). Подготовлены шаблоны для формирования виртуальных окружений на базе Fedora 32, Debian 10 и Whonix 15. По умолчанию предложено ядро Linux 5.4.

  1. Главная ссылка к новости (https://www.qubes-os.org/news/...)
  2. OpenNews: Четвёртый тестовый выпуск ОС Subgraph
  3. OpenNews: Выпуск гипервизора Xen 4.14
  4. OpenNews: Релиз ОС Qubes 4.0, использующей виртуализацию для изоляции приложений
  5. OpenNews: Выпуск Whonix 15, дистрибутива для обеспечения анонимных коммуникаций
  6. OpenNews: Спецслужбы Франции опубликовали защищённый дистрибутив CLIP OS
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/54707-qubes
Ключевые слова: qubes
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (37) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, uis (ok), 21:44, 05/03/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • –4 +/
    Ничего не понял. Это микроядро?
    Если пользовательские программы смогут использовать syscall'ы внутри них самих, например для работы и изоляции плагинов, то в этом что-то есть.
     
     
  • 2.4, Аноним (-), 22:52, 05/03/2021 [^] [^^] [^^^] [ответить]  
  • +23 +/
    Это куча виртуалок поверх XEN.

    Сам по себе XEN можно посчитать за атрофированное микроядро, которое делает только совсем базовый менеджмент ресурсов. Но вообще - это принято называть словом "гипервизор", точнее описывающим конкретику функциональности.

    Сам по себе XEN не умеет дрова оборудования. Поэтому ему нужен Linux в dom0, куда будет сбагриваться фактическая работа с железом. И, наверное, он уже не микроядро. Ну а в виртуалках в domU живут юзерские VM, реализующие десктоп и изолированные друг от друга программы.

    Я себе нечто сравнимое запилил вообще из qemu и дебиан линухов (RAM сильно меньше жрут), только гипервизором сразу linux, благо kvm встроен в каждый линух, и с пробросом окошек я не заморачивался, решив что четкое видение в каком isolation domain я нахожусь вообще фича.

     
     
  • 3.14, Леголас (ok), 05:20, 06/03/2021 [^] [^^] [^^^] [ответить]  
  • +5 +/
    ради вот таких экскурсов и читаю OpenNET, спасибо
     
     
  • 4.34, Аноним (-), 00:19, 07/03/2021 [^] [^^] [^^^] [ответить]  
  • +/
    ыыыыыыыы
     
  • 3.22, Аноним (22), 11:24, 06/03/2021 [^] [^^] [^^^] [ответить]  
  • +3 +/
    > Я себе нечто сравнимое запилил вообще из qemu и дебиан

    Поделитесь мануалом, плиз.

     
     
  • 4.29, Аноним (29), 16:12, 06/03/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Присоединяюсь к просьбе.
     
  • 3.36, Аноним (36), 11:19, 07/03/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Я пользовался Qubes примерно пол-года, потом снес. Было удобно пользоваться отдельными виртуалками для разных VPN: для работы был нужен один, в пиндосии; для вэбсерфинга - поближе, в европах; ну а для всяких местечковых говносайтов чтобы за интернет и коммуналку платить - там VPN был во зло.

    Но отрицательные стороны достали окончательно. Во-первых, не задалось сразу на этапе установки - была бага в питонячем скрипте, там куча их. Потом - Fedora. Не люблю редхат с 2003 года. Я, конечно, в виртуалках крутил Debian, но куда денешься от Dom0? Network Manager, опять же. Самый важный крысиный апплет загрузки процессора и свободной памяти абсолютно бесполезен, откуда ему знать про XEN. С нестандартными USB девайсами (занимаюсь эмбедовкой иногда) - танцы с бубном без надежды на успех. В UI багов тоже предостаточно, та же копипаста между виртуалками регулярно затыкалась.

    Я пошел другим путем: снес Qubes, поставил Debian, завел несколько юзеров и настроил маршрутизацию через разные VPN по uid. Переключение между иксами по ctrl-alt-f7-f8-f9-etc вообще не напрягает, даже лучше чем куча окон на одном десктопе.

     

  • 1.2, Аноним (2), 21:46, 05/03/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Будет как ипхонах: передать данные между двумя изолированными приложениями быстрее через чудое облако за океаном, чем пробить дыру во всех этих огораживаниях.
     
  • 1.3, Аноним (3), 22:42, 05/03/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    GPU по-прежнему не доступен. Значит - бесполезно.
     
     
  • 2.5, Аноним (-), 23:28, 05/03/2021 [^] [^^] [^^^] [ответить]  
  • +2 +/
    А что, xen не умеет в проброс GPU? Но вообще эти фокусы в high-secure окружении не стоит делать. Даже с IOMMU. А то видите ли вынесет вас гуест DMA - и плевать ему что это виртуалка. Для DMA инициируемого устройством какая нахрен разница, оно адресами хоста в конечном итоге оперирует.
     
     
  • 3.7, Аноним (7), 00:31, 06/03/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    и почему-то с интеловыми эти фокусы проходят...
     
     
  • 4.10, Аноним (-), 02:50, 06/03/2021 [^] [^^] [^^^] [ответить]  
  • +/
    На kvm оно и с амдшными так-то проходит. Но это не очень популярный и протестированный сетап, а сама идея подарить атакующему (или вы изоляцию делали потому что ресурсы некуда девать?) железку с DMA-мастером в комплекте почему-то выглядит как эффективный способ аннулировать результат всей возни глупым действом. Я не понимаю пойнт такого сетапа.
     

  • 1.6, Аноним (7), 00:30, 06/03/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    >>(GPU NVIDIA и AMD недостаточно хорошо протестированы)

    ну вот не нужно трындеть - одно просто хреново с IOMMU работает, а другое с ним вообще не работает.

     
     
  • 2.8, Аноним (8), 01:55, 06/03/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Под qemu+kvm нет проблем с пробросом красных и зеленых карт. XEN - defective by design!
     
     
  • 3.9, Аноним (7), 02:26, 06/03/2021 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Серьезно?
    Давай пробрось Ryzen 7 4800H & GeForce GTX 1650 Ti
    Какую версию ядра для этого будеш выбирать?
     
     
  • 4.20, валяйте (?), 10:48, 06/03/2021 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Сделано, пробросил
     
     
  • 5.21, Аноним (7), 10:56, 06/03/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    ага, на словах...
     
     
  • 6.27, Аноним (-), 12:45, 06/03/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Лежа на спине
     
  • 4.37, Аноним (37), 11:15, 09/03/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Проблема не в видяшке и тем более не в ядре, а в ушлепанском чипсете под твою затычку сокета.
     
  • 2.11, Аноним (-), 02:54, 06/03/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Не гони, я пробрасывал amdgpu в kvm'ную виртуалку. Правда стоит сказать что у меня их было несколько, так что я детачнул 1 от pci и отдал это в VM, и ессно это не системный GPU был. И как таковое оно работало даже. Правда меня там вывод на экран вообще не колыхал, это gpgpu compute, конечно. Зачем мне выхлоп VM на вон том DVI? Хоть он наверное и есть теоретически, я не проверял :)
     
     
  • 3.13, Псевдоним (??), 03:12, 06/03/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Можно и с одной GPU провернуть.
     
     
  • 4.18, Аноним (-), 08:59, 06/03/2021 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Если речь про честный проброс PCI устройства я не понимаю как это должно выглядеть. Для этого надо у хардварной системы железку отобрать (а как она тогда на экран что-то покажет?) и заново реинициализировать из гуеста. И я не уверен что такой фортель хорошо работает.

    Я то отдавал "uninitialized" (secondary GPUs) - линь при этом бухтит нечто типа GPU is not posted, posting now - после чего это реинит с ноля, с переключением VGA -> native, вгрузкой фирмвар и проч. Можно ли так сделать без полного ресета железки дважды - без понятия.

    У интеля есть какие-то пробросы команд в GPU, чтоли. Специфичные для них. Безопасность этого мне неизвестна - GPU изначально не делали с учетом многоюзерности и тем более виртуализации, насколько это все не может поиметь хост - большой вопрос, учитывая что изначально GPU как бы DMA-master на хосте. И если у амд в более-менее новых GPU (GCN и новее) появилось что-то типа paging на стороне GPU и соответственно какое-то подобие 3-го MMU  - paging на стороне GPU он как-то делает и какие-то энфорсы прав страниц GPU VM умеет, как и детект GPU VM page fault. Такой наверное даже реально уже на несколько юзеров/программ относительно секурно поделить по типу того как системный проц. А вот интель как-то сильно проще и кмк они так вообще не могут на уровне железа. Но их вообще хайп интересует больше безопасности. И не факт что юзеры чего-то типа сабжа хотели вот такое отношение к делу.

     
     
  • 5.32, Аноним (7), 21:49, 06/03/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    если есть две - то одну можно и отобрать.
    вопрос еще в том как эту отобранную между виртуалками поделить?
     
  • 3.31, Аноним (7), 20:37, 06/03/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    у меня на GPU драйверах IOMMU даже не поднималось для проброса, какие только опции ядра и модулей не пробовал подставлять.
     

  • 1.12, НеАноним (?), 03:07, 06/03/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Про ябывдулистую Рутковскую ничего не написали:(
     
     
  • 2.16, Chromium (ok), 07:36, 06/03/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Kurva power!!!
     
  • 2.19, Аноним (-), 09:08, 06/03/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Она хороша. Красивая и умная, да еще в low level шарит. Офигенное сочетание, так то.
     
     
  • 3.28, n00by (ok), 14:38, 06/03/2021 [^] [^^] [^^^] [ответить]  
  • +/
    "По словам Йоанны, они вместе с Александром занимаются изучением угроз и консультационными проектами, однако Александр немного больше времени уделяет программистской работе, а сама Рутковская сосредоточена непосредственно на бизнес-задачах."

    Она, кстати, приезжала к нему в гости. Но. С подружкой. Так что закатайте губу. ;)

     
  • 2.23, Аноним (-), 12:33, 06/03/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    А она уже давно как ушла из проекта в другой.
     
     
  • 3.25, Аноним (-), 12:44, 06/03/2021 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Порнозвезды на Главном?
     
  • 2.35, Аноним (35), 01:28, 07/03/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Руткитовская
     

  • 1.15, Тот_Самый_Анонимус (?), 07:16, 06/03/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    4.0.4 — выпуск должен быть максимально хорош.
     
     
  • 2.24, Аноним (-), 12:36, 06/03/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Да там ничего особенного, обычная минорщина, где есть только обновление компонентов до свежих. Ждем 4.1
     

  • 1.17, Аноним (17), 08:38, 06/03/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    4.0.1 тестил, так и не смог выйти в инет, чтобы обновиться. Хорошее огораживание: все фреймы пропадали в неизвестном направлении. Похоже какая-то заморочка с сетевой картой и её работой в iommu режиме. Надо потестить обновление.
     
     
  • 2.26, Аноним (-), 12:45, 06/03/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Это не для инета
    Очень великая секурность
     

  • 1.30, Аноним (30), 18:31, 06/03/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Вот когда полноценно ГПУ проброс будет, тогда и подумаем....
     
     
  • 2.33, Аноним (33), 22:24, 06/03/2021 [^] [^^] [^^^] [ответить]  
  • +/
    > Вот когда полноценно ГПУ проброс будет, тогда и подумаем....

    Штуки такого плана - не решения для ублажения хомячков. А безопасность это деяние нагибает солидно.

     
     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру