Меню Рубрики

Установка qubes os на usb

Установка и настройка Qubes OS 4

Qubes OS 4 — операционная система ориентированная на безопасность методом разделения процессов по виртуальным машинам. Виртуализация происходит на базе технологии XEN, что позволяет работать виртуальным машинам значительно быстрее чем при использовании программной виртуализации (VirtualBox, VMware и так далее).

Однако данная операционная система все же достаточно специфична и может показаться сложной в использовании после классических Linux OS. В данной статье постараюсь как можно подробнее описать установку Qubes OS, настройка, также нюансы системы.

Установка Qubes OS 4

1. Системные требования Qubes OS

Перед установкой системы необходимо посетить сайт разработчика и проверить свой компьютер на совместимость аппаратной части, так же в данном разделе можно добавить свою конфигурацию оборудования после тестирования и описать работоспособность системы конкретно на Вашем железе:

Минимальные системные требования:

  • Процессор: Intel или AMD 64 Bit поддерживающие аппаратную виртуализацию;
  • Оперативная память: 4 GB;
  • Жесткий диск: минимум 32 GB.
  • Процессор: Intel или AMD 64 Bit поддерживающие аппаратную виртуализацию;
  • Оперативная память: 8 GB;
  • Жесткий диск: минимум 32 GB SSD;
  • Видеокарта: очень рекомендуется наличие интегрированного графического процессора Intel, на дискретных видеокартах AMD и Nvidia возможны ошибки.

Согласно списку совместимого оборудования наиболее подходящими будут ноутбуки с процессорами Intel 6 поколения и выше. В моем случае это Dell Inspirion 13 5378, заявлена полная совместимость, но ошибки все же иногда выявляются, методы решения наиболее часто встречающихся в следующих статьях.

Необходимо обязательно проверить свою систему на совместимость, иначе работоспособность не гарантируется и исходя из моего опыта гарантирую множество проблем, вплоть до полного отказа системы.

2. Установка системы

И так, железо проверено пора устанавливать. Загружаем ISO образ с официального сайта. Записываем любым удобным способом на USB флешку с объемом памяти минимум 8 GB, желательно USB 3.0 (система достаточно долго устанавливается). Перезагружаем компьютер, в настройках BIOS отключаем Trusted Boot и Legasy Boot. Загружаемся с флешки или иного носителя. Дальнейшая установка вплоть до первого запуска системы ничем не отличается от установки других дистрибутивов. Дожидаемся полной установки, перезагружаемся.

Настройка Qubes OS 4

3. Первоначальная настройка

После загрузки системы появляется меню первоначальной настройки:

Извините за качество изображений выполнялась реальная установка на ноутбук без возможности сделать скриншот. Выбираем единственный пункт, далее видим следующее меню.

Разработчик рекомендует оставить все без изменений, я рекомендую так же, позже указанные параметры можно будет отредактировать. Нажимаем Done в левом верхнем углу экрана и довольно долго ждем завершения начальной настройки (если индикатор остановился не пугаемся, такое бывает). После окончания начальных настроек, система возвращает на первый экран, где в правом нижнем углу нужно нажать FINISH CONFIGURATION.

Внимание! Если нажать на QUBES OS всю настройку системы придется повторить!

4. Обновление QubesOS

И так система запущена на экране рабочее окружение XFCE в базовом виде. Первоначально необходимо обновить систему и пакеты встроенных Qubes VM. Для этого подключаемся к Wi-Fi или проводному подключению.

Далее открываем Меню, Terminal Emulator. Вводим следующие команды. Обновляем VM Dom0 (подробнее о всех VM в следующих статьях):

Обновить VMs можно двумя способами: либо через графическое приложение, либо через терминал VM-ов.

Первый способ. Переходим в меню, далее System Tools, Qubes Update, выбираем все VMы, жмем Next и ожидаем полного обновления.

Второй способ чуть сложнее, однако позволяет просматривать объем обновлений и списки обновляемых пакетов. Переходим в меню, Template: debian-9 далее debian-9: Terminal.

Вводим стандартные команды обновления Debian:

sudo apt-get upgrade -y && sudo apt-get update -y && sudo apt-get dist-upgrade

Далее повторяем это для всех VMs. Fedora:

sudo dnf upgrade -y && sudo dnf update

sudo apt-get upgrade -y && sudo apt-get update -y && sudo apt-get dist-upgrade

sudo apt-get upgrade -y && sudo apt-get update -y && sudo apt-get dist-upgrade

После выполнения всех указанных операций, Ваша система полностью обновлена.

5. Установка программ

В Qubes OS есть нюанс, обновление и установка необходимого ПО и пакетов выполняется только в группе VM Template! Если вы выполняете, все согласно данной инструкции, то другие VM кроме необходимых у вас не запущены, но если вы уже посмотрели и попробовали, что то открыть в других VM они уже запущены, и их необходимо отключить. Делается это следующим образом:

Открываем меню, System Tools -> Qube Manager. Выбираем необходимую VM, нажимаем правой кнопкой и выбираем Shutdown Qube, ждем когда зеленый значок работы VMа в графе State не пропадет. Должны быть включены только VMы группы Template, sys-net, sys-usb, sys-firewall, sys-whonix.

Далее открываем терминал и устанавливаем все, что необходимо, нужно и нравится. Так же можно и нужно подключать необходимые репозитории и PPA

Далее после установки всех приложений обязательно отключаем VM в котором производилась установка. Сразу отмечу, что по умолчанию, все личные VM такие как Personal, Work, Vault и т.д. работают на Fedora 29. Соответственно добавлять можно приложения установленные из Template Fedora. Аналогично с Whonix. Как создать VM на базе Debian в следующих статьях.

Следующим действием необходимо добавить приложение в меню запуска. Это не обязательно, можно выполнять запуск из терминала. Но многим удобнее через меню. Переходим в меню выбираем нужную VM, открываем приложение Qube Settings, переходим в Application и переносим стрелочкой нужные приложения.

6. Дополнительные настройки для Fedora

Репозитории RPMFusion по умолчанию установлены, но отключены. Для их включения откройте терминал и перейдите в yum.repos.d:

Открываем любым текстовым редактором файл rpmfusion-free.repo:

sudo #текстовый редактор# rpmfusion-free.repo

Открываем любым текстовым редактором файл rpmfusion-nonfree.repo:

sudo #текстовый редактор# rpmfusion-nonfree.repo

В обоих файлах находим строку enabled=0 и меняем на 1. Теперь репозитории RPMFusion активны.

7. Копирование файлов

Копирование файлов из основного домена Dom0 в другие VM. Такое иногда бывает нужно. Например вы воспользовались приложением Screenshot из System Tools.

  1. Открываем Terminal Emulator из основного меню;
  2. Переходим в необходимый каталог командой cd;
  3. Копируем файлы в нужную VM: qvm-copy-to-vm ;
  4. Ваши файлы появятся в

Копирование в каталоги Dom0 будет описано в следующих статьях.

8. Копирование текста

Копирование текста внутри одной VM происходит стандартно, сочетанием клавиш Ctrl+C, Ctrl+V или из меню ПКМ. Немного сложнее при копировании между разными VM’ами. Для копирования текста и файлов необходимо:

  1. Выделить текст или файл и нажать Ctrl+C;
  2. Далее не снимания выделения и фокусировки на окне нажать Ctrl+Shift+C;
  3. Выделить окно целевого VM нажать Ctrl+Shift+V и далее Ctrl+V;

Немного сложно, но со временем привыкаешь, к тому же данное действие не выполняется часто.

9. Работа с USB флешками

  1. Подключаем флешку к USB порту;
  2. Открываем основной терминал Dom0;
  3. Вводим команду qvm-block;
  4. В терминале видим список подключенных устройств;

Далее вводим команду подключения:

Все, флешка примонтирована к требуемой VM. После перезагрузки или перезапуска VM повторно эту операцию выполнять не нужно, флешка примонтируется автоматически.

Заключение

Это только первая статья из цикла по работе с Qubes OS 4. На мой взгляд этого минимально необходимого перечня действий достаточно для начала использования. В следующих статьях рассмотрим создание новых VM (в том числе Kali-Linux), подключение к Tor, Proxy, VPN, настройку каждой VM в отдельности и еще многое и многое. Надеюсь вам будет интересно.

источник

User Documentation

Contents

Qubes Live USB (alpha)

NOTE: This content applies to Qubes versions earlier than R3.2. See the Installation Guide for instructions and warnings on creating a USB boot drive for testing purposes with Qubes R3.2, R4.0, and higher.

Qubes Live USB allows you to run and try Qubes OS without having to install it anywhere. Qubes Live USB is currently in alpha. If you use it, please consider running the HCL reporting tool and sending us the results so that we can continue to improve it. If would like to contribute to the Qubes OS Project by improving Qubes Live USB and integrating it with the installer, please consider applying for a Google Summer of Code scholarship (if you are eligible) and choosing the QubesOS Project as a mentor organization. You can find our list of project ideas here.

Introduction

When making this Live USB edition of Qubes OS, we faced several challenges which traditional Linux distros don’t have to bother with:

  1. We needed to ensure Xen is properly started when booting the stick. In fact we still don’t support UEFI boot for the stick for this reason, even though the Fedora liveusb creator we used does support it. Only legacy boot for this version, sorry.
  2. We discovered that the Fedora liveusb-create does not verify signatures on downloaded packages. We have temporarily fixed that by creating a local repo, verifying the signatures manually (ok, with a script 😉 ) and then building from there. Sigh.
  3. We had to solve the problem of Qubes too easily triggering an Out Of Memory condition in Dom0 when running as Live OS.

This last problem has been a result of Qubes using the copy-on-write backing for the VMs’ root filesystems, which is used to implement our cool Template-based scheme. Normally these are backed by regular files on disk. Even though these files are discardable upon VM reboots, they must be preserved during the VM’s life span, and they can easily grow to a few tens of MBs per VM, sometimes even more. Also, each VM’s private image, which essentially holds just the user home directory, typically starts with a few tens of MBs for an “empty VM”. Now, while these represent rather insignificant numbers on a disk-basked system, in the case of a live USB all these files must be stored in RAM, which is a scarce resource on any OS, but especially on Qubes.

We have implemented some quick optimizations in order to minimize the above problem, but this is still far from a proper solution. We’re planning to work more on this next.

There are three directions in which we want to do further work on this Qubes Live USB variant:

Introduce an easy, clickable “install to disk” option, merging this with the Qubes installation ISO. So, e.g. make it possible to first see if the given hardware is compatible with Qubes (by running the HCL reporting tool) and only then install on the main disk. Also, ensure UEFI boot works well.

Introduce options for persistence while still running this out of a USB stick. This would be achieved by allowing (select) VMs’ private images to be stored on the r/w partition (or on another stick).

A nice variant of this persistence option, especially for frequent travelers, would be to augment our backup tools so that it was possible to create a LiveUSB-hosted backups of select VMs. One could then pick a few of their VMs, necessary for a specific trip, back them up to a LiveUSB stick, and take this stick when traveling to a hostile country (not risking taking other, more sensitive ones for the travel). This should make life a bit simpler for some.

Introduce more useful preconfigured VMs setup, especially including Whonix/Tor VMs.

Current limitations

(Remember that Qubes Live USB is currently in alpha, so please meter your expectations accordingly.)

  1. Currently just the 3 example VMs (untrusted, personal, work), plus the default net and firewall VMs are created automatically.
  2. The user has an option to manually (i.e. via command line) create an additional partition, e.g. for storing GPG keyring, and then mounting it to select VMs. This is to add poor-man’s persistence. We will be working on improving/automating that, of course.
  3. Currently there is no “install to disk” option. We will be adding this in the future.
  4. The amount of “disk” space is limited by the amount of RAM the laptop has. This has a side effect of e.g. not being able to restore (even a few) VMs from a large Qubes backup blob.
  5. It’s easy to generate Out Of Memory (OOM) in Dom0 by creating lots of VMs which are writing a lot into the VMs filesystem.
  6. There is no DispVM savefile, so if you start a DispVM the savefile must be regenerated, which takes about 1-2 minutes.
  7. UEFI boot doesn’t work, and if you try booting Qubes Live USB via UEFI, Xen will not be started, rendering the whole experiment unusable.

Downloading and burning

“Burn” (copy) the ISO onto a USB drive (replace /dev/sdX with your USB drive device):

Note that you should specify the whole device, (e.g. /dev/sdc , not a single partition, e.g. /dev/sdc1 ).

Caution: It is very easy to misuse the dd command. If you mix up if and of or specify an incorrect device, you could accidentally overwrite your primary system drive. Please be careful!

источник

Использование QubesOS для работы с Windows 7

На Хабре не так много статей, посвященных операционной системе Qubes, а те, что я видел мало описывают опыт применения. Под катом надеюсь это исправить на примере использования Qubes в качестве средства защиты (от) среды Windows и, попутно, оценить количество русскоговорящих пользователей системы.

Почему Qubes?

История с окончанием техподдержки Windows 7 и повышающаяся тревожность пользователей привела к необходимости организовать работу этой ОС, учитывая следующие требования:

  • обеспечить применение полноценной активированной Windows 7 с возможностью установки пользователем обновлений и различных приложений (в том числе через Интернет);
  • реализовать полное или избирательное исключение сетевых взаимодействий по условию (режимы автономной работы и фильтрации трафика);
  • предоставить возможность избирательного подключения съемных носителей и устройств.

Такой набор ограничений предполагает явно подготовленного пользователя, поскольку разрешается самостоятельное администрирование, и ограничения связаны не с блокированием его потенциальных действий, а с исключением возможных ошибок или программного деструктивного воздействия. Т.е. внутреннего нарушителя в модели нет.

В поиске решения мы быстро отказались от идеи реализовывать ограничения встроенными или дополнительными средствами Windows, поскольку достаточно сложно эффективно ограничить пользователя с полномочиями администратора, оставляя ему возможность устанавливать приложения.

Следующим вариантом решения была изоляция с помощью виртуализации. Широкоизвестные инструменты для настольной виртуализации (например, такие как virtualbox) плохо приспособлены для решений задач безопасности и перечисленные ограничения придется делать пользователю постоянно переключая или настраивая свойства гостевой виртуальной машины (далее ВМ), что повышает риски ошибок.

В то же время у нас был опыт применения Qubes в качестве настольной системы пользователя, но были сомнения в стабильности работы с гостевой Windows. Было решено проверить актуальную версию Qubes, поскольку поставленные ограничения очень хорошо укладываются в парадигму этой системы, особенно реализация шаблонов виртуальных машин и визуальная интеграция. Далее попробую по возможности кратко рассказать об идеях и инструментарии Qubes, на примере решения поставленной задачи.

Типы виртуализации Xen

В основе Qubes лежит гипервизор Xen, который, минимизирует в себе функции управления ресурсами процессора, памятью и виртуальными машинами. Вся остальная работа с устройствами сосредоточена в dom0 на основе ядра Linux (в Qubes для dom0 используется дистрибутив Fedora).

Xen поддерживает несколько типов виртуализации (я буду приводить примеры для Intel архитектуры, хотя Xen поддерживает и другие):

  • паравиртуализация (PV) — режим виртуализации без использования аппаратной поддержки, напоминает контейнерную виртуализацию, может использоваться для систем c адаптированным ядром (в таком режиме функционирует dom0);
  • полная виртуализация (HVM) — в таком режиме для ресурсов процессора используется аппаратная поддержка, а все остальное оборудование эмулируется средствами QEMU. Это наиболее универсальный способ запуска различных ОС;
  • паравиртуализация оборудования (PVH — ParaVirtualized Hardware) — режим виртуализации с использованием аппаратной поддержки когда для работы с оборудованием ядро гостевой системы использует драйверы, адаптированные к возможностям гипервизора (например, разделяемой памяти), снимая необходимость в эмуляции QEMU и повышая производительность ввода-вывода. Ядро Linux начиная с 4.11 может работать в таком режиме.

Начиная с версии Qubes 4.0 по соображениям безопасности идет отказ от использования режима паравиртуализации (в том числе в связи с известными уязвимостями архитектуры Intel, которые частично снимаются использованием полноценной виртуализации), по умолчанию используется режим PVH.

При использовании эмуляции (режим HVM) запуск QEMU осуществляется в изолированной ВМ называемой stubdomain, тем самым снижая риски эксплуатации потенциальных ошибок в реализации (проект QEMU содержит много кода, в том числе для совместимости).
Такой режим в нашем случае следует использовать для Windows.

Служебные виртуальные машины

В архитектуре безопасности Qubes одной из ключевых возможностей гипервизора является передача PCI-устройств в гостевое окружение. Исключение оборудования позволяет изолировать хостовую часть системы от внешних атак. Xen поддерживает это для PV и HVM режимов, во втором случае для этого требуется поддержка IOMMU (Intel VT-d) — аппаратного управление памятью для виртуализируемых устройств.

Таким образом создаются несколько системных виртуальных машин:

  • sys-net, которой передаются сетевые устройства и которая используется в качестве моста для других ВМ, например, реализующих функции межсетевого экрана или клиента сети VPN;
  • sys-usb, которой передаются USB и другие контроллеры периферийных устройств;
  • sys-firewall, которая не использует устройства, а работает как межсетевой экран для подключаемых ВМ.

Для работы с USB устройствами используются прокси-сервисы, которые обеспечивают в том числе:

  • для класса устройств HID (human interface device) передачу команд в dom0;
  • для съемных носителей перенаправление томов устройств в другие ВМ (за исключением dom0);
  • перенаправление непосредственно USB устройства (используется USBIP и средства интеграции).

В такой конфигурации успешная атака через сетевой стек или подключаемые устройства может приводить к компрометации только запущенной служебной ВМ, а не всей системы в целом. А после перезапуска служебной ВМ она будет загружена в исходном состоянии.

Инструменты интеграции ВМ

Есть несколько способов взаимодействия с рабочим столом виртуальной машины — установка приложений в гостевую систему или эмуляция видео средствами виртуализации. В качестве гостевых приложений могут выступать различные универсальные средства удаленного доступа (RDP, VNC, Spice и т.п.) или адаптированные к конкретному гипервизору (такой инструментаций обычно называют гостевыми утилитами). Может применяться и смешанный вариант, когда гипервизор эмулирует ввод-вывод для гостевой системы, а снаружи предоставляет возможность использовать протокол, комбинирующий ввод-вывод, например, как у Spice. При этом средства удаленного доступа обычно оптимизируют изображение, поскольку предполагают работу через сеть, что не в лучшую сторону влияет на качество картинки.

Qubes предоставляет собственные средства для интеграции ВМ. В первую очередь это графическая подсистема — окна из различных ВМ отображаются на едином рабочем столе с собственным цветовым обрамлением. В целом средства интеграции основаны на возможностях гипервизора — разделяемой памяти (Xen grant table), средствах уведомления (Xen event channel), разделяемом хранилище xenstore и протоколе коммуникации vchan. С их помощью реализуются базовые компоненты qrexec и qubes-rpc, и прикладные сервисы — перенаправление звука или USB, передача файлов или содержимого буфера обмена, выполнение команд и запуск приложений. Есть возможность устанавливать политики, позволяющей ограничить доступные на ВМ сервисы. На рисунке ниже пример процедуры инициализации взаимодействия двух ВМ.

Таким образом работа в ВМ производится без использования сети, что позволяет полноценно использовать автономные ВМ для избежания утечки информации. Например, так реализуется разделение криптографических операций (PGP/SSH), когда закрытые ключи используются в изолированных ВМ и не выходят за их пределы.

Шаблоны, прикладные и одноразовые ВМ

Вся работа пользователя в Qubes производится в виртуальных машинах. Основная хостовая система используется для управления их работой и визуализации. ОС устанавливается вместе с базовым набором виртуальных машин на основе шаблонов (TemplateVM). Такой шаблон представляет собой Linux ВМ на основе дистрибутива Fedora или Debian, с установленными и настроенными средствами интеграции, выделенными системными и пользовательскими разделами. Установка и обновление программного обеспечения производится штатным менеджером пакетов (dnf или apt) из настроенных репозиториев с обязательной проверкой цифровой подписи (GnuPG). Назначение таких ВМ это обеспечение доверия к прикладным ВМ, запускаемым на их основе.

Прикладная ВМ (AppVM) при старте использует снимок системного раздела соответствующего шаблона ВМ, а после завершения удаляет этот снимок без сохранения изменений. Необходимые пользователю данные хранятся в уникальном для каждой прикладной ВМ пользовательском разделе, который монтируется в домашний каталог.

Полезным с точки зрения безопасности может быть использование одноразовых ВМ (disposibleVM). Такая ВМ создается на основе шаблона в момент старта и запускается с одной целью — выполнения одного приложения, завершая работу после его закрытия. Одноразовые ВМ могут использоваться для открытия подозрительных файлов, содержимое которых может приводить к эксплуатации уязвимостей конкретных приложений. Возможность запуска одноразовой ВМ интегрирована в файловый менеджер (Nautilus) и почтовый клиент (Thunderbird).

Windows ВМ также может быть использована для создания шаблона и одноразовой ВМ, для этого профиль пользователя переносится в отдельный раздел. В нашем варианте такой шаблон будет использоваться пользователем для задач администрирования и установки приложений. На основе шаблона будут созданы несколько прикладных ВМ — с ограниченным доступом к сети (штатные возможности sys-firewall) и без доступа к сети вообще (не создается виртуальное сетевое устройство). Для работы в этих ВМ будут доступны все изменения и приложения, устанавливаемые в шаблоне и даже в случае внедрения программ-закладок, им будет недоступен сетевой доступ для компрометации.

Борьба за Windows

Описанные выше возможности являются основой Qubes и работают вполне стабильно, сложности начинаются с Windows. Для интеграции Windows необходимо использовать набор гостевых инструментов Qubes Windows Tools (QWT), включающий в себя драйверы для работы с Xen, драйвер qvideo и набор утилит для информационного обмена (файловый прием-передача, буфер обмена). Процесс установки и настройки подробно документирован на сайте проекта, поэтому поделимся нашим опытом применения.

Основную сложность составляет по сути отсутствие поддержки разработанного инструментария. Ключевые разработчики (QWT), по всей видимости, недоступны и проект интеграции с Windows находится в ожидании ведущего разработчика. Поэтому в первую очередь необходимо было оценить работоспособность и составить понимание о возможности его поддержки при необходимости самостоятельно. Наиболее сложным для разработки и отладки является графический драйвер, который эмулирует видеоадаптер и дисплей для формирования изображения в разделяемой памяти, позволяя отображать весь рабочий стол или непосредственно окно приложения в окне хостовой системы. В ходе анализа работы драйвера мы адаптировали код для сборки в окружении Linux и отработали схему отладки между двумя гостевыми Windows системами. На этапе кроссбилда провели несколько упрощающих для нас изменений в основном в части «тихой» установки утилит, а также устранили назойливую деградацию производительности при длительной работе в ВМ. Результаты работы мы оформили в отдельном репозитории, тем самым ненадолго вдохновив ведущего разработчика Qubes.

Наиболее критичным этапом в плане стабильности гостевой системы является запуск Windows, здесь можно увидеть знакомый синий экран (или даже не увидеть). Для большинства выявленных ошибок находились различные варианты обхода — отказ от Xen драйверов блочных устройств, оключение балансировки памяти ВМ, фиксация сетевых настроек и минимизация количества ядер. Наша сборка гостевых средств устанавливается и работает на полностью обновленной Windows 7 и Windows 10 (за исключением qvideo).

При переходе из реальной среды в виртуальную возникает проблема с активацией Windows в случае использования предустановленных OEM версий. Такие системы используют активацию на основе лицензий, прописанных в UEFI устройства. Для корректной отработки активации необходимо транслировать в гостевую систему один из разделов ACPI хостовой системы целиком (SLIC table) и немного править другие, прописывая производителя. Xen позволяет настраивать содержимое ACPI дополнительных таблиц, но без модификации основных. С решением помог патч от похожего проекта OpenXT, который был адаптирован для Qubes. Исправления показались полезными не только нам и были транслированы в основной репозиторий Qubes и библиотеку Libvirt.

Очевидными недостатками средств интеграции Windows следует назвать отсутствие поддержки звука, USB-устройств и сложность работы с медиа, поскольку нет аппаратной поддержки GPU. Но перечисленное не мешает использованию ВМ для работы с офисными документами, не препятствует запуску специфичных корпоративных приложений.

Требование переключения в режим работы без сети или с ограниченной сетью после создания шаблона Windows ВМ выполнялось созданием соответствующих конфигураций прикладных ВМ, а возможность избирательного подключения съемных носителей также решалась штатными средствами ОС — при подключении они доступны в системной ВМ sys-usb, откуда могут быть «проброшены» к необходимой ВМ. Рабочий стол пользователя выглядит приблизительно так.

Итоговый вариант системы положительно (насколько позволяет столь комплексное решение) принят пользователями, а штатные средства системы позволили расширить применение до мобильного рабочего места пользователя с доступом через VPN.

Вместо заключения

Виртуализация в целом позволяет снижать риски использования Windows систем, оставленных без поддержки — не принуждает к обеспечению совместимости с новыми аппаратными средствами, позволяет исключать или контролировать доступ к системе по сети или посредством подключаемых устройств, позволяет реализовать среду для одноразового запуска.

ОС Qubes, основанная на идее изоляции через виртуализацию, помогает использовать эти и другие механизмы для обеспечения безопасности. Со стороны многие видят в Qubes в первую очередь стремление к анонимности, но это полезная система как для инженеров, часто совмещающих проекты, инфраструктуры и секреты доступа к ним, так и для исследователей безопасности. Разделение приложений, данных и формализация их взаимодействия это начальные шаги анализа угроз и проектирования системы защиты. Такое разделение помогает структурировать информацию и снизить вероятность ошибки из-за человеческого фактора — спешки, усталости и т.п.

В настоящее время основной упор в разработке идет на расширение функциональности Linux сред. Готовится к релизу версия 4.1, которая будет основана на Fedora 31 и включать актуальные версии ключевых компонент Xen и Libvirt. Стоит отметить, что Qubes создается профессионалами в области информационной безопасности, которые всегда оперативно выпускают обновления в случае выявления новых угроз или ошибок.

Послесловие

Одна из развиваемых нами экспериментальных возможностей позволяет создавать ВМ с поддержкой гостевого доступа к GPU на основе технологии Intel GVT-g, что позволяет использовать возможности графического адаптера и значительно расширить область применения системы. На момент написания статьи этот функционал работает для тестовых сборок Qubes 4.1, и доступен на github.

источник

Читайте также:  Установка бампера киа соул

Добавить комментарий

Adblock
detector