ProHoster > Блог > internet vijesti > Izdanje OS Qubes 4.1 koristeći virtuelizaciju za izolaciju aplikacija

Izdanje OS Qubes 4.1 koristeći virtuelizaciju za izolaciju aplikacija

Nakon skoro četiri godine razvoja, objavljen je operativni sistem Qubes 4.1, implementirajući ideju korištenja hipervizora za striktno izolaciju aplikacija i OS komponenti (svaka klasa aplikacija i sistemskih usluga radi u zasebnim virtuelnim mašinama). Za rad vam je potreban sistem sa 6 GB RAM-a i 64-bitni Intel ili AMD CPU sa podrškom za VT-x sa EPT/AMD-v sa RVI i VT-d/AMD IOMMU tehnologijama, po mogućnosti Intel GPU (NVIDIA) i AMD GPU-ovi nisu dobro testirani). Veličina instalacione slike je 6 GB.

Aplikacije u Qubes-u su podijeljene u klase ovisno o važnosti podataka koji se obrađuju i zadataka koji se rješavaju. Svaka klasa aplikacije (npr. rad, zabava, bankarstvo) kao i sistemske usluge (mrežni podsistem, zaštitni zid, skladište, USB stek, itd.) rade na zasebnim virtuelnim mašinama koje se pokreću pomoću Xen hipervizora. U isto vrijeme, ove aplikacije su dostupne na istoj radnoj površini i jasno se razlikuju po različitim bojama okvira prozora. Svako okruženje ima pristup za čitanje osnovnog root FS-a i lokalnog skladišta koji se ne preklapa sa skladištima drugih okruženja; posebna usluga se koristi za organizaciju interakcije aplikacije.

Izdanje OS Qubes 4.1 koristeći virtuelizaciju za izolaciju aplikacija

Baza paketa Fedora i Debian može se koristiti kao osnova za formiranje virtualnih okruženja, a zajednica također podržava šablone za Ubuntu, Gentoo i Arch Linux. Moguće je organizovati pristup aplikacijama u Windows virtuelnoj mašini, kao i kreirati virtuelne mašine zasnovane na Whonix-u za obezbeđivanje anonimnog pristupa putem Tor-a. Korisnička ljuska je bazirana na Xfce-u. Kada korisnik pokrene aplikaciju iz menija, ta aplikacija se pokreće na određenoj virtuelnoj mašini. Sadržaj virtuelnih okruženja je definisan skupom šablona.

Izdanje OS Qubes 4.1 koristeći virtuelizaciju za izolaciju aplikacija
Izdanje OS Qubes 4.1 koristeći virtuelizaciju za izolaciju aplikacija

Glavne promjene:

  • Implementirana je mogućnost korištenja posebnog GUI Domain okruženja sa komponentama kako bi se osigurao rad grafičkog interfejsa. Ranije, u virtuelnim okruženjima, svaka klasa aplikacija je pokretala poseban X server, pojednostavljeni menadžer prozora i stub video drajver koji je prevodio izlaz u kontrolno okruženje u kompozitnom režimu, ali komponente grafičkog steka, glavni menadžer prozora na radnoj površini, ekran kontrole i grafički drajveri radili su u glavnom kontrolnom okruženju Dom0. Sada se funkcije vezane za grafiku mogu premjestiti iz Dom0 u zasebno okruženje GUI domene i odvojiti od komponenti upravljanja sistemom. Dom0 ostavlja samo poseban pozadinski proces kako bi omogućio pristup određenim memorijskim stranicama. Podrška GUI domene je još uvijek eksperimentalna i nije omogućena prema zadanim postavkama.
  • Dodata eksperimentalna podrška za Audio Domain, zasebno okruženje za pokretanje audio servera koje vam omogućava da odvojite komponente za obradu zvuka od Dom0.
  • Dodan pozadinski proces qrexec-policy i novi sistem pravila za Qrexec RPC mehanizam, koji vam omogućava da izvršavate komande u kontekstu specificiranih virtuelnih okruženja. Qrexec sistem pravila određuje ko može da radi šta i gde u Qubesu. Nova verzija pravila sadrži fleksibilniji format, značajno povećanje produktivnosti i sistem obavještavanja koji olakšava dijagnosticiranje problema. Dodata mogućnost pokretanja Qrexec servisa kao servera dostupnog preko socket servera.
  • Predložena su tri nova šablona za virtuelna okruženja zasnovana na Gentoo Linux-u - minimalni, sa Xfce i sa GNOME-om.
  • Implementirana je nova infrastruktura za održavanje, automatizirano sklapanje i testiranje dodatnih šablona virtualnog okruženja. Pored Gentooa, infrastruktura pruža podršku za šablone sa Arch Linux i Linux testiranjem kernela.
  • Poboljšan je sistem izgradnje i testiranja, dodata je podrška za verifikaciju u sistemu kontinuirane integracije baziran na GitLab CI.
  • Radilo se na implementaciji podrške za ponovljive gradnje okruženja baziranih na Debianu, koje se mogu koristiti za potvrdu da su komponente Qubesa izgrađene točno iz navedenih izvornih kodova i da ne sadrže vanjske promjene, čija se zamjena, na primjer, može napravljen napadom na asemblersku infrastrukturu ili bookmarks u kompajleru.
  • Implementacija zaštitnog zida je prepisana.
    Izdanje OS Qubes 4.1 koristeći virtuelizaciju za izolaciju aplikacija
  • Sys-firewall i sys-usb okruženja sada rade u "jednokratnom" načinu rada prema zadanim postavkama, tj. su za jednokratnu upotrebu i mogu se izraditi na zahtjev.
  • Poboljšana podrška za ekrane visoke gustine piksela.
  • Dodata podrška za različite oblike kursora.
  • Implementirano obavještenje o nedostatku slobodnog prostora na disku.
  • Dodata podrška za paranoidni režim oporavka iz rezervne kopije, koji koristi jednokratno virtuelno okruženje za oporavak.
  • Instalater vam omogućava da birate između Debiana i Fedore za predloške virtualnih strojeva.
  • Dodano je novo grafičko sučelje za upravljanje ažuriranjima.
    Izdanje OS Qubes 4.1 koristeći virtuelizaciju za izolaciju aplikacija
  • Dodan uslužni program Template Manager za instaliranje, brisanje i ažuriranje šablona.
  • Poboljšan mehanizam distribucije šablona.
  • Osnovno Dom0 okruženje je ažurirano na bazu paketa Fedora 32. Predlošci za kreiranje virtualnih okruženja ažurirani su na Fedora 34, Debian 11 i Whonix 16. Linux kernel 5.10 se nudi po defaultu. Xen 4.14 hipervizor i Xfce 4.14 grafičko okruženje su ažurirani.

izvor: opennet.ru

Dodajte komentar