Nid oes llawer o erthyglau ar Habré wedi'u neilltuo i system weithredu Qubes, ac nid yw'r rhai yr wyf wedi'u gweld yn disgrifio llawer o'r profiad o'i ddefnyddio. O dan y toriad, rwy'n gobeithio cywiro hyn gan ddefnyddio'r enghraifft o ddefnyddio Qubes fel modd o amddiffyn (yn erbyn) amgylchedd Windows ac, ar yr un pryd, amcangyfrif nifer y defnyddwyr sy'n siarad Rwsieg y system.
Pam Qubes?
Arweiniodd hanes diwedd cefnogaeth dechnegol i Windows 7 a phryder cynyddol defnyddwyr at yr angen i drefnu gwaith yr OS hwn, gan ystyried y gofynion canlynol:
- sicrhau y defnyddir Windows 7 wedi'i actifadu'n llawn gyda'r gallu i'r defnyddiwr osod diweddariadau a rhaglenni amrywiol (gan gynnwys trwy'r Rhyngrwyd);
- gweithredu eithrio cyflawn neu ddetholus o ryngweithiadau rhwydwaith yn seiliedig ar amodau (gweithredu ymreolaethol a dulliau hidlo traffig);
- darparu'r gallu i gysylltu cyfryngau a dyfeisiau symudadwy yn ddetholus.
Mae'r set hon o gyfyngiadau yn rhagdybio defnyddiwr sydd wedi'i baratoi'n glir, gan fod gweinyddiaeth annibynnol yn cael ei ganiatáu, ac nid yw'r cyfyngiadau'n gysylltiedig â rhwystro ei gamau gweithredu posibl, ond i eithrio gwallau posibl neu effeithiau meddalwedd dinistriol. Y rhai. Nid oes troseddwr mewnol yn y model.
Wrth chwilio am ateb, fe wnaethom roi'r gorau i'r syniad yn gyflym o weithredu cyfyngiadau gan ddefnyddio offer Windows adeiledig neu ychwanegol, gan ei bod yn eithaf anodd cyfyngu defnyddiwr â hawliau gweinyddwr yn effeithiol, gan adael iddo'r gallu i osod cymwysiadau.
Yr ateb nesaf oedd ynysu gan ddefnyddio rhithwiroli. Mae offer adnabyddus ar gyfer rhithwiroli bwrdd gwaith (er enghraifft, fel virtualbox) yn addas iawn ar gyfer datrys problemau diogelwch a bydd yn rhaid i'r defnyddiwr wneud y cyfyngiadau rhestredig trwy newid neu addasu priodweddau'r peiriant rhithwir gwestai yn gyson (y cyfeirir ati yma wedi hyn fel VM), sy'n cynyddu'r risg o gamgymeriadau.
Ar yr un pryd, cawsom brofiad o ddefnyddio Qubes fel system bwrdd gwaith defnyddiwr, ond roedd gennym amheuon ynghylch sefydlogrwydd gweithio gyda Windows gwestai. Penderfynwyd gwirio'r fersiwn gyfredol o Qubes, gan fod y cyfyngiadau a nodwyd yn cyd-fynd yn dda iawn â pharadigm y system hon, yn enwedig gweithredu templedi peiriannau rhithwir ac integreiddio gweledol. Nesaf, byddaf yn ceisio siarad yn fyr am syniadau ac offer Qubes, gan ddefnyddio'r enghraifft o ddatrys y broblem.
Mathau o rithwiroli Xen
Mae Qubes yn seiliedig ar y hypervisor Xen, sy'n lleihau swyddogaethau rheoli adnoddau prosesydd, cof a pheiriannau rhithwir. Mae'r holl waith arall gyda dyfeisiau wedi'i grynhoi yn dom0 yn seiliedig ar y cnewyllyn Linux (mae Quubes for dom0 yn defnyddio dosbarthiad Fedora).
Mae Xen yn cefnogi sawl math o rithwiroli (byddaf yn rhoi enghreifftiau ar gyfer pensaernïaeth Intel, er bod Xen yn cefnogi eraill):
- paravirtualization (PV) - gellir defnyddio modd rhithwiroli heb ddefnyddio cefnogaeth caledwedd, sy'n atgoffa rhywun o rithwiroli cynhwysydd, ar gyfer systemau gyda chnewyllyn wedi'i addasu (mae dom0 yn gweithredu yn y modd hwn);
- rhithwiroli llawn (HVM) - yn y modd hwn, defnyddir cefnogaeth caledwedd ar gyfer adnoddau prosesydd, ac mae'r holl offer arall yn cael ei efelychu gan ddefnyddio QEMU. Dyma'r ffordd fwyaf cyffredinol i redeg systemau gweithredu amrywiol;
- paravirtualization caledwedd (PVH - Caledwedd ParaVirtualized) - modd rhithwiroli gan ddefnyddio cymorth caledwedd pan, i weithio gyda chaledwedd, mae cnewyllyn y system westai yn defnyddio gyrwyr sydd wedi'u haddasu i alluoedd y hypervisor (er enghraifft, cof a rennir), gan ddileu'r angen am efelychu QEMU a pherfformiad I/O cynyddol. Gall y cnewyllyn Linux sy'n dechrau o 4.11 weithio yn y modd hwn.
Gan ddechrau gyda Qubes 4.0, am resymau diogelwch, rhoddir y gorau i ddefnyddio modd paravirtualization (gan gynnwys oherwydd gwendidau hysbys ym mhensaernïaeth Intel, sy'n cael eu lliniaru'n rhannol trwy ddefnyddio rhithwiroli llawn); Defnyddir modd PVH yn ddiofyn.
Wrth ddefnyddio efelychiad (modd HVM), mae QEMU yn cael ei lansio mewn VM ynysig o'r enw stubdomain, a thrwy hynny leihau'r risg o fanteisio ar gamgymeriadau posibl wrth weithredu (mae'r prosiect QEMU yn cynnwys llawer o god, gan gynnwys ar gyfer cydnawsedd).
Yn ein hachos ni, dylid defnyddio'r modd hwn ar gyfer Windows.
Gwasanaethu peiriannau rhithwir
Ym mhensaernïaeth diogelwch Qubes, un o alluoedd allweddol yr hypervisor yw trosglwyddo dyfeisiau PCI i'r amgylchedd gwestai. Mae gwahardd caledwedd yn eich galluogi i ynysu rhan gwesteiwr y system rhag ymosodiadau allanol. Mae Xen yn cefnogi hyn ar gyfer moddau PV a HVM, yn yr ail achos mae angen cefnogaeth ar gyfer IOMMU (Intel VT-d) - rheoli cof caledwedd ar gyfer dyfeisiau rhithwir.
Mae hyn yn creu sawl peiriant rhithwir system:
- sys-net, y trosglwyddir dyfeisiau rhwydwaith iddo ac a ddefnyddir fel pont ar gyfer VMs eraill, er enghraifft, y rhai sy'n gweithredu swyddogaethau wal dân neu gleient VPN;
- sys-usb, y trosglwyddir USB a rheolwyr dyfeisiau ymylol eraill iddo;
- sys-firewall, nad yw'n defnyddio dyfeisiau, ond sy'n gweithio fel wal dân ar gyfer VMs cysylltiedig.
I weithio gyda dyfeisiau USB, defnyddir gwasanaethau dirprwy, sy'n darparu, ymhlith pethau eraill:
- ar gyfer y dosbarth dyfais HID (dyfais rhyngwyneb dynol), anfon gorchmynion i dom0;
- ar gyfer cyfryngau symudadwy, ailgyfeirio cyfeintiau dyfeisiau i VMs eraill (ac eithrio dom0);
- ailgyfeirio yn uniongyrchol i ddyfais USB (gan ddefnyddio USBIP ac offer integreiddio).
Mewn cyfluniad o'r fath, gall ymosodiad llwyddiannus trwy'r pentwr rhwydwaith neu ddyfeisiau cysylltiedig arwain at gyfaddawdu'r gwasanaeth rhedeg VM yn unig, ac nid y system gyfan yn ei chyfanrwydd. Ac ar ôl ailgychwyn y gwasanaeth VM, bydd yn cael ei lwytho yn ei gyflwr gwreiddiol.
Offer integreiddio VM
Mae yna sawl ffordd o ryngweithio â bwrdd gwaith peiriant rhithwir - gosod cymwysiadau yn y system westai neu efelychu fideo gan ddefnyddio offer rhithwiroli. Gall cymwysiadau gwestai fod yn amrywiol offer mynediad o bell cyffredinol (RDP, VNC, Spice, ac ati) neu wedi'u haddasu i hypervisor penodol (gelwir offer o'r fath yn gyfleustodau gwestai fel arfer). Gellir defnyddio opsiwn cymysg hefyd, pan fydd yr hypervisor yn efelychu I / O ar gyfer y system westai, ac yn allanol yn darparu'r gallu i ddefnyddio protocol sy'n cyfuno I / O, er enghraifft, fel Spice. Ar yr un pryd, mae offer mynediad o bell fel arfer yn gwneud y gorau o'r ddelwedd, gan eu bod yn golygu gweithio trwy rwydwaith, nad yw'n cael effaith gadarnhaol ar ansawdd y ddelwedd.
Mae Qubes yn darparu ei offer ei hun ar gyfer integreiddio VM. Yn gyntaf oll, mae hon yn is-system graffeg - mae ffenestri o wahanol VMs yn cael eu harddangos ar un bwrdd gwaith gyda'u ffrâm lliw eu hunain. Yn gyffredinol, mae offer integreiddio yn seiliedig ar alluoedd y hypervisor - cof a rennir (tabl grant Xen), offer hysbysu (sianel digwyddiad Xen), xenstore storio a rennir a'r protocol cyfathrebu vchan. Gyda'u cymorth, gweithredir y cydrannau sylfaenol qrexec a qubes-rpc, a gwasanaethau cymhwysiad - ailgyfeirio sain neu USB, trosglwyddo ffeiliau neu gynnwys clipfwrdd, gweithredu gorchmynion a lansio cymwysiadau. Mae'n bosibl gosod polisïau sy'n caniatáu ichi gyfyngu ar y gwasanaethau sydd ar gael ar VM. Mae'r ffigur isod yn enghraifft o'r weithdrefn ar gyfer cychwyn rhyngweithiad dau VM.
Felly, mae gwaith yn y VM yn cael ei wneud heb ddefnyddio rhwydwaith, sy'n caniatáu defnydd llawn o VMs ymreolaethol i osgoi gollwng gwybodaeth. Er enghraifft, dyma sut mae gwahanu gweithrediadau cryptograffig (PGP/SSH) yn cael ei weithredu, pan ddefnyddir allweddi preifat mewn VMs ynysig ac nad ydynt yn mynd y tu hwnt iddynt.
Templedi, cymhwysiad a VMs un-amser
Mae holl waith defnyddwyr yn Qubes yn cael ei wneud mewn peiriannau rhithwir. Defnyddir y brif system gwesteiwr i'w rheoli a'u delweddu. Mae'r OS wedi'i osod ynghyd â set sylfaenol o beiriannau rhithwir sy'n seiliedig ar dempled (TemplateVM). VM Linux yw'r templed hwn yn seiliedig ar y dosbarthiad Fedora neu Debian, gydag offer integreiddio wedi'u gosod a'u ffurfweddu, a rhaniadau system a defnyddwyr pwrpasol. Mae'r gwaith o osod a diweddaru meddalwedd yn cael ei wneud gan reolwr pecyn safonol (dnf neu apt) o storfeydd wedi'u ffurfweddu gyda dilysiad llofnod digidol gorfodol (GnuPG). Pwrpas VMs o'r fath yw sicrhau ymddiriedaeth mewn VMs cais a lansiwyd ar eu sail.
Wrth gychwyn, mae cymhwysiad VM (AppVM) yn defnyddio ciplun o raniad system y templed VM cyfatebol, ac ar ôl ei gwblhau mae'n dileu'r ciplun hwn heb arbed newidiadau. Mae'r data sydd ei angen ar y defnyddiwr yn cael ei storio mewn rhaniad defnyddiwr unigryw ar gyfer pob VM cais, sydd wedi'i osod yn y cyfeiriadur cartref.
Gall defnyddio VMs tafladwy (VM tafladwy) fod yn ddefnyddiol o safbwynt diogelwch. Mae VM o'r fath yn cael ei greu yn seiliedig ar dempled ar adeg cychwyn ac yn cael ei lansio at un diben - i weithredu un cais, gan gwblhau gwaith ar ôl iddo gael ei gau. Gellir defnyddio VMs tafladwy i agor ffeiliau amheus y gallai eu cynnwys arwain at ecsbloetio gwendidau cymwysiadau penodol. Mae'r gallu i redeg VM un-amser wedi'i integreiddio i'r rheolwr ffeiliau (Nautilus) a'r cleient e-bost (Thunderbird).
Gellir defnyddio Windows VM hefyd i greu templed a VM un-amser trwy symud y proffil defnyddiwr i adran ar wahân. Yn ein fersiwn ni, bydd templed o'r fath yn cael ei ddefnyddio gan y defnyddiwr ar gyfer tasgau gweinyddol a gosod rhaglenni. Yn seiliedig ar y templed, bydd sawl VM cais yn cael eu creu - gyda mynediad cyfyngedig i'r rhwydwaith (galluoedd wal dân safonol) a heb fynediad i'r rhwydwaith o gwbl (ni chrëir dyfais rhwydwaith rhithwir). Bydd yr holl newidiadau a rhaglenni sydd wedi'u gosod yn y templed ar gael i weithio yn y VMs hyn, a hyd yn oed os cyflwynir rhaglenni nod tudalen, ni fydd ganddynt fynediad i'r rhwydwaith ar gyfer cyfaddawdu.
Ymladd dros Windows
Mae'r nodweddion a ddisgrifir uchod yn sail i Qubes ac yn gweithio'n eithaf sefydlog; mae'r anawsterau'n dechrau gyda Windows. I integreiddio Windows, rhaid i chi ddefnyddio set o offer gwestai Qubes Windows Tools (QWT), sy'n cynnwys gyrwyr ar gyfer gweithio gyda Xen, gyrrwr qvideo a set o gyfleustodau ar gyfer cyfnewid gwybodaeth (trosglwyddo ffeiliau, clipfwrdd). Mae'r broses gosod a ffurfweddu wedi'i dogfennu'n fanwl ar wefan y prosiect, felly byddwn yn rhannu ein profiad ymgeisio.
Y prif anhawster yn ei hanfod yw'r diffyg cefnogaeth i'r offer datblygedig. Ymddengys nad yw Datblygwyr Allweddol (QWT) ar gael ac mae prosiect integreiddio Windows yn aros am ddatblygwr arweiniol. Felly, yn gyntaf oll, roedd angen asesu ei berfformiad a dod i ddealltwriaeth o'r posibilrwydd o'i gefnogi'n annibynnol, pe bai angen. Yr un anoddaf i'w ddatblygu a'i ddadfygio yw'r gyrrwr graffeg, sy'n efelychu'r addasydd fideo a'r arddangosfa i gynhyrchu delwedd mewn cof a rennir, sy'n eich galluogi i arddangos y bwrdd gwaith cyfan neu ffenestr y cymhwysiad yn uniongyrchol yn ffenestr y system westeiwr. Yn ystod y dadansoddiad o weithrediad y gyrrwr, fe wnaethom addasu'r cod ar gyfer cydosod mewn amgylchedd Linux a gweithio allan cynllun dadfygio rhwng dwy system westai Windows. Yn y cam trawsadeiladu, gwnaethom nifer o newidiadau a oedd yn symleiddio pethau i ni, yn bennaf o ran gosod cyfleustodau “tawel”, a hefyd yn dileu diraddiad blino perfformiad wrth weithio mewn VM am amser hir. Cyflwynwyd canlyniadau'r gwaith gennym ar wahân , felly nid yn hir Datblygwr Arweiniol Qubes.
Y cam mwyaf hanfodol o ran sefydlogrwydd system westai yw cychwyn Windows, yma gallwch weld y sgrin las gyfarwydd (neu ddim hyd yn oed yn ei weld). Ar gyfer y rhan fwyaf o'r gwallau a nodwyd, roedd yna amrywiol atebion - dileu gyrwyr dyfeisiau bloc Xen, analluogi cydbwyso cof VM, gosod gosodiadau rhwydwaith, a lleihau nifer y creiddiau. Mae ein hadeilad offer gwestai yn gosod ac yn rhedeg ar Windows 7 a Windows 10 wedi'u diweddaru'n llawn (ac eithrio qvideo).
Wrth symud o amgylchedd go iawn i un rhithwir, mae problem yn codi gydag actifadu Windows os defnyddir fersiynau OEM wedi'u gosod ymlaen llaw. Mae systemau o'r fath yn defnyddio actifadu yn seiliedig ar drwyddedau a nodir yn UEFI y ddyfais. Er mwyn prosesu'r activation yn gywir, mae angen cyfieithu un o adrannau ACPI cyfan y system westeiwr (tabl SLIC) i'r system westeion a golygu ychydig ar y lleill, gan gofrestru'r gwneuthurwr. Mae Xen yn caniatáu ichi addasu cynnwys ACPI tablau ychwanegol, ond heb addasu'r prif rai. Helpodd darn o brosiect tebyg OpenXT, a addaswyd ar gyfer Qubes, gyda'r ateb. Roedd yr atebion yn ymddangos yn ddefnyddiol nid yn unig i ni ac fe'u cyfieithwyd i brif gadwrfa Qubes a llyfrgell Libvirt.
Mae anfanteision amlwg offer integreiddio Windows yn cynnwys diffyg cefnogaeth ar gyfer sain, dyfeisiau USB, a chymhlethdod gweithio gyda'r cyfryngau, gan nad oes cefnogaeth caledwedd ar gyfer y GPU. Ond nid yw'r uchod yn atal y defnydd o'r VM ar gyfer gweithio gyda dogfennau swyddfa, ac nid yw ychwaith yn atal lansio ceisiadau corfforaethol penodol.
Cyflawnwyd y gofyniad i newid i ddull gweithredu heb rwydwaith neu gyda rhwydwaith cyfyngedig ar ôl creu templed Windows VM trwy greu cyfluniadau priodol o VMs cymhwysiad, a datryswyd y posibilrwydd o gysylltu cyfryngau symudadwy yn ddetholus hefyd gan offer OS safonol - pan gysylltwyd , maent ar gael yn y system VM sys-usb, lle gellir eu "hyrru" ymlaen i'r VM gofynnol. Mae bwrdd gwaith y defnyddiwr yn edrych rhywbeth fel hyn.
Derbyniwyd fersiwn derfynol y system yn gadarnhaol (cyn belled ag y mae datrysiad mor gynhwysfawr yn caniatáu) gan ddefnyddwyr, ac roedd offer safonol y system yn ei gwneud hi'n bosibl ehangu'r cymhwysiad i weithfan symudol y defnyddiwr gyda mynediad trwy VPN.
Yn hytrach na i gasgliad
Mae rhithwiroli yn gyffredinol yn caniatáu ichi leihau'r risgiau o ddefnyddio systemau Windows heb gefnogaeth - nid yw'n gorfodi cydnawsedd â chaledwedd newydd, mae'n caniatáu ichi wahardd neu reoli mynediad i'r system dros y rhwydwaith neu trwy ddyfeisiau cysylltiedig, ac mae'n caniatáu ichi gweithredu amgylchedd lansio un-amser.
Yn seiliedig ar y syniad o ynysu trwy rithwiroli, mae Qubes OS yn eich helpu i drosoli'r rhain a mecanweithiau eraill ar gyfer diogelwch. O'r tu allan, mae llawer o bobl yn gweld Qubes yn bennaf fel awydd am anhysbysrwydd, ond mae'n system ddefnyddiol i beirianwyr, sy'n aml yn jyglo prosiectau, seilweithiau a chyfrinachau i gael mynediad atynt, ac i ymchwilwyr diogelwch. Gwahanu cymwysiadau, data a ffurfioli eu rhyngweithio yw'r camau cychwynnol o ddadansoddi bygythiadau a dylunio systemau diogelwch. Mae'r gwahaniad hwn yn helpu i strwythuro gwybodaeth a lleihau'r tebygolrwydd o gamgymeriadau oherwydd y ffactor dynol - brys, blinder, ac ati.
Ar hyn o bryd, mae'r prif bwyslais mewn datblygiad ar ehangu ymarferoldeb amgylcheddau Linux. Mae fersiwn 4.1 yn cael ei pharatoi i'w rhyddhau, a fydd yn seiliedig ar Fedora 31 ac yn cynnwys fersiynau cyfredol o'r cydrannau allweddol Xen a Libvirt. Mae'n werth nodi bod gweithwyr proffesiynol diogelwch gwybodaeth yn creu Qubes sydd bob amser yn rhyddhau diweddariadau yn brydlon os nodir bygythiadau neu wallau newydd.
Afterword
Mae un o'r galluoedd arbrofol yr ydym yn eu datblygu yn caniatáu inni greu VMs gyda chefnogaeth ar gyfer mynediad gwesteion i'r GPU yn seiliedig ar dechnoleg Intel GVT-g, sy'n ein galluogi i ddefnyddio galluoedd yr addasydd graffeg ac ehangu cwmpas y system yn sylweddol. Ar adeg ysgrifennu, mae'r swyddogaeth hon yn gweithio ar gyfer adeiladau prawf Qubes 4.1, ac mae ar gael ymlaen .
Ffynhonnell: hab.com