The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги | ]

29.03.2018 10:53  Релиз ОС Qubes 4.0, использующей виртуализацию для изоляции приложений

Состоялся релиз операционной системы Qubes 4.0, реализующей идею использования гипервизора для строгой изоляции приложений и компонентов ОС (каждый класс приложений и системные сервисы работают в отдельных виртуальных машинах). Для загрузки подготовлен установочный образ размером 4.2 Гб. Для работы необходима система с 4 Гб ОЗУ и 64-разрядным CPU Intel или AMD с поддержкой технологий VT-x c EPT/AMD-v c RVI и VT-d/AMD IOMMU, желательно наличие GPU Intel (GPU NVIDIA и AMD плохо протестированы).

Приложения в Qubes разделены на классы в зависимости от важности обрабатываемых данных и решаемых задач, каждый класс приложений, а также системные сервисы (сетевая подсистема, работа с хранилищем и т.п.), работают в отдельных виртуальных машинах. При этом указанные приложения бесшовно доступны в рамках одного рабочего стола и выделяются для наглядности разным цветом обрамления окна. Каждое окружение имеет доступ на чтение к базовой корневой ФС и локальному хранилищу, не пересекающемуся с хранилищами других окружений, для организации взаимодействия приложений используется специальный сервис.

В качестве основы для формирования виртуальных окружений может применяться пакетная база Fedora и Debian, также сообществом поддерживаются шаблоны для Whonix, Ubuntu и Arch Linux. Пользовательская оболочка построена на основе Xfce, но в качестве опции можно использовать KDE. Когда пользователь запускает из меню приложение, это приложение стартует в определенной виртуальной машине. Содержание виртуальных окружений определяется набором шаблонов. В каждом виртуальном окружении приложения запускается отдельный X-сервер, упрощённый оконный менеджер и видеодрайвер-заглушка, транслирующий вывод в управляющее окружение в композитном режиме.

Основные изменения:

  • Виртуальные окружения теперь запускаются в режимах PVH и HVP вместо PV, что позволило усилить изоляцию и обеспечить защиту от уязвимостей Meltdown и Spectre. PVH комбинирует элементы режимов паравиртуализации (PV) для ввода/вывода, обработки прерываний, организации загрузки и взаимодействия с оборудованием, с применением полной виртуализации (HVM) для ограничения привилегированных инструкций, изоляции системных вызовов и виртуализации таблиц страниц памяти;
  • Переписаны скрипты управляющего стека (Core Stack), улучшена структура и расширяемость;
  • Добавлен Admin API для организации управления виртуальными машинами, который упрощает кастомизацию, использование одноразовых VM, позволяет формировать более гибкие правила и даёт дополнительные возможности в управлении разделами с VM;
  • Переписаны все утилиты командной строки qvm-*;
  • Запрещено переименование виртуальных машин, оставлены только операции клонирования в новую VM и удаления старой VM;
  • По умолчанию создаётся USB VM;
  • Предоставлено несколько шаблонов для одноразовых VM;
  • Новый формат резервных копий, использующий функцию scrypt и обязательно применяющий шифрование. Возможность использования незашифрованных резервных копий больше не предоставляется;
  • VM-пакеты qubes-core-agent/qubes-core-vm разделены для улучшения поддержки создания специализированных и минимальных шаблонов;
  • Qubes Manager разделён на отдельные виджеты для управления доменами и устройствами, в виджет управления устройствами добавлена поддержка USB;
  • Новый интерфейс управления разделами VM, позволяющий размещать VM на внешних накопителях;
  • Предложен более гибкий интерфейс управления межсетевым экраном, упрощающий интеграцию с unikernel;
  • В шаблонах виртуальных машин теперь по умолчанию отключен сетевой интерфейс, а для доставки обновлений используется прокси на основе qrexec;
  • Обеспечен более гибкий выбор IP-адресов для VM;
  • Повышена гибкость правил Qubes RPC. Добавлено новое окно с подтвержднием RPC-операций с возможностью указания целевой VM;
  • Новая архитектура подсистемы хранения данных, позволяющая подключать различные типы хранилищ;
  • Базовое окружение Dom0 обновлено до пакетной базы Fedora 25. Задействовано ядро Linux 4.9.


  1. Главная ссылка к новости (https://www.qubes-os.org/news/...)
  2. OpenNews: Проект Qubes выступил с новой инициативой сертификации безопасных ноутбуков
  3. OpenNews: Доступна ОС Qubes 3.2, использующей виртуализацию для изоляции приложений
  4. OpenNews: ОС Qubes переходит на Xfce из-за недовольства развитием KDE
  5. OpenNews: Четвёртый тестовый выпуск ОС Subgraph
  6. OpenNews: Релиз ОС Qubes 3, использующей виртуализацию для изоляции приложений
Лицензия: CC-BY
Тип: Программы
Ключевые слова: qubes, virtual
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение Ajax/Линейный | Раскрыть все сообщения | RSS
 
  • 1.1, Аноним (-), 11:17, 29/03/2018 [ответить] [показать ветку] [···]    [к модератору]
  • –2 +/
    всё тлен! PV тю-тю :-(
     
     
  • 2.14, Аноним (-), 14:16, 29/03/2018 [^] [ответить]    [к модератору]
  • +/
    Правильно сделали. Virtualbox безопаснее, чем Qubes OS с PV.
     
  • 2.17, Аноним (-), 14:19, 29/03/2018 [^] [ответить]    [к модератору]
  • +1 +/
    > всё тлен! PV тю-тю :-(

    Обещают выпустить обновление 3.2.1 и поддерживать его год.

     
  • 2.35, сишечка с пюрешечкой (?), 05:28, 30/03/2018 [^] [ответить]    [к модератору]
  • +/
    зачем вам pv? pvh делает почти тоже самое, но только аппаратно, потому и быстрее. ищите тесты или сами проверьте.
     
  • 1.4, Аноним (-), 12:05, 29/03/2018 [ответить] [показать ветку] [···]    [к модератору]
  • –2 +/
    Всё ещё на xen?
     
  • 1.5, Аноним (-), 12:15, 29/03/2018 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    Последние карты nvidia работать не будут, сразу скажу.
     
     
  • 2.6, A.Stahl (ok), 12:22, 29/03/2018 [^] [ответить]     [к модератору]  
  • +2 +/
    Дык они из-за нюансов с подписями вообще не работают из-под Линукса Только пр... весь текст скрыт [показать]
     
     
  • 3.7, Аноним (-), 12:43, 29/03/2018 [^] [ответить]    [к модератору]  
  • +/
    Я про проприетарный драйвер и говорю. Он не работает в Xen.
     
     
  • 4.11, A.Stahl (ok), 13:52, 29/03/2018 [^] [ответить]    [к модератору]  
  • +/
    Ну так он и не работает. Совсем. Вообще. Нигде. От него геморроя больше, чем пользы.
     
     
  • 5.18, Аноним (-), 15:17, 29/03/2018 [^] [ответить]    [к модератору]  
  • –2 +/
    Руки выпрямить не пробовал? Или они тебе только чтобы интернеты засорять своим тупым бредом?
     
     
  • 6.19, A.Stahl (ok), 15:20, 29/03/2018 [^] [ответить]    [к модератору]  
  • –2 +/
    Вот и выпрямляй себе руки. И шею не забудь. Под 90 градусов :)
     
  • 5.20, Аноним (-), 15:31, 29/03/2018 [^] [ответить]    [к модератору]  
  • +/
    >От него геморроя больше, чем пользы.

    В моей Gentoo он без проблем работает и обновляется, как и все остальные пакеты.

     
  • 5.21, Кузя (?), 15:57, 29/03/2018 [^] [ответить]    [к модератору]  
  • +/
    Нууу, вы преувеличиваете. Нормально работает. И обновляется вполне оперативно.
     
  • 5.23, Аноним (-), 16:55, 29/03/2018 [^] [ответить]    [к модератору]  
  • +/
    ЛПП
     
  • 1.8, Аноним (-), 12:55, 29/03/2018 [ответить] [показать ветку] [···]    [к модератору]  
  • +3 +/
    А я поставил whonix и очень доволен!
     
  • 1.9, Мууу (?), 13:16, 29/03/2018 [ответить] [показать ветку] [···]    [к модератору]  
  • +2 +/
    Крутые обои!
     
     
  • 2.24, Аноним (-), 17:22, 29/03/2018 [^] [ответить]    [к модератору]  
  • +/
    Скучноватые. Уже видели.
     
  • 1.10, Аноним (-), 13:23, 29/03/2018 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    Наивные. Лучше всего приложения изолированы на отдельных компьютерах, однако и так случаются эпидемии и утечки. Потому что приложения должны ВЗАИМОДЕЙСТВОВАТЬ, не важно как, сеть, файлы, и т. д.
     
     
  • 2.15, Аноним (-), 14:16, 29/03/2018 [^] [ответить]    [к модератору]  
  • +1 +/
    > Наивные. Лучше всего приложения изолированы на отдельных компьютерах.

    Это их долгосрочные планы. https://www.qubes-os.org/news/2018/01/22/qubes-air/

     
  • 1.12, Аноним (-), 13:53, 29/03/2018 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    Идея xen не очень нравится, kvm надежнее выглядит. Можно браузер в отдельной виртуалке под kvm, а дальше по ssh -CY . Kvm заставить общаться с хостом через fsdev. Вроде надежнее выглядит.
     
     
  • 2.13, fail_ (?), 14:16, 29/03/2018 [^] [ответить]     [к модератору]  
  • –1 +/
    Meлко, пoшлo и не молодежно копи-пох Нaдoбнo нa кaждый syscаll пpивaтный do... весь текст скрыт [показать]
     
  • 2.16, Аноним (-), 14:18, 29/03/2018 [^] [ответить]     [к модератору]  
  • +/
    Со временем планируется уйти от какой-то одной системы виртуализации, и оставить... весь текст скрыт [показать]
     
     
  • 3.39, Аноним (-), 12:15, 30/03/2018 [^] [ответить]    [к модератору]  
  • +/
    >Со временем планируется уйти от какой-то одной системы виртуализации, и оставить это на выбор пользователя.

    Откуда дровишки? Яна же Xen всё время расхваливала, bare-metal, мол, все дела.

     
     
  • 4.41, Аноним (-), 15:51, 30/03/2018 [^] [ответить]    [к модератору]  
  • +/
    https://www.qubes-os.org/news/2018/01/22/qubes-air/
     
     
  • 5.42, Аноним (-), 16:32, 30/03/2018 [^] [ответить]    [к модератору]  
  • +/
    Не нашёл по ссылке ничего про "Со временем планируется уйти от какой-то одной системы виртуализации, и оставить это на выбор пользователя."
     
  • 2.32, ПТНПНХ (?), 23:32, 29/03/2018 [^] [ответить]    [к модератору]  
  • +/
    Точно помню, что Йоанна писала о планах перехода на KVM, надо только поискать где именно
     
     
  • 3.40, ПНХ ПТНПНХ (?), 12:16, 30/03/2018 [^] [ответить]    [к модератору]  
  • +/
    >надо только поискать где именно

    Поищи.

     
  • 1.22, Аноним (-), 16:51, 29/03/2018 [ответить] [показать ветку] [···]    [к модератору]  
  • +2 +/
    Следующий шаг: каждая инструкция процессора выполняется в своей виртуальной машине.
     
     
  • 2.25, Аноним (-), 18:16, 29/03/2018 [^] [ответить]    [к модератору]  
  • +/
    Сделай по одному ядру на виртуалку - так и получится.
     
  • 2.26, Аноним (-), 18:34, 29/03/2018 [^] [ответить]    [к модератору]  
  • +/
    Так ведь уже давным давно, машинный код на самом деле байткод.
     
  • 1.27, yan123 (?), 21:03, 29/03/2018 [ответить] [показать ветку] [···]    [к модератору]  
  • +1 +/
    Ну наконец-то! А то уже начал переживать, что не придумают куда ресурсы железа девать и мне незачем будет апгрейдить комп.
     
     
  • 2.29, Аноним (-), 22:32, 29/03/2018 [^] [ответить]    [к модератору]  
  • +/
    Перед игрунами вообще такой проблемы не стоит.
    У них всегда дефицит ресурсов!
     
     
  • 3.30, Аноним (-), 23:12, 29/03/2018 [^] [ответить]    [к модератору]  
  • +/
    Особенно с приходом VR по 4К и 90 Гц на каждый глаз. У производителей железа хорошие маркетологи.
     
  • 1.31, ПТНПНХ (?), 23:31, 29/03/2018 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    > CPU AMD  GPU Intel

    Йоанна, но как? Вот есть у меня комп на Ryzen 5 1600X, как бы мне в него GPU Intel вкорячить? Где купить? Куда бечь?

     
     
  • 2.36, Аноним (-), 08:57, 30/03/2018 [^] [ответить]    [к модератору]  
  • +1 +/
    На некторых старых (2009-10г) ноутах такое извращение видел.
     
     
  • 3.38, ПТНПНХ (?), 11:50, 30/03/2018 [^] [ответить]    [к модератору]  
  • +/
    На ноуте один раз тоже видел, но я про современное десктопное железо, куда этот дистриб нацелен
     
  • 1.33, foobar (??), 00:24, 30/03/2018 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    > Строгой изоляции
    > Ядро Linux

    Шутка года!

     
     
  • 2.34, Аноним (-), 00:33, 30/03/2018 [^] [ответить]    [к модератору]  
  • +1 +/
    Тебе о гипервизоре, а ты о ядре.
     
  • 1.37, Аноним (-), 09:32, 30/03/2018 [ответить] [показать ветку] [···]     [к модератору]  
  • +/
    А смысл Управление ресурсами и доступами к сети, фс и т д для каждого приложе... весь текст скрыт [показать]
     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:


      Закладки на сайте
      Проследить за страницей
    Created 1996-2018 by Maxim Chirkov  
    ДобавитьПоддержатьВебмастеруГИД  
    Hosting by Ihor