Nach fast vierjähriger Entwicklungszeit wurde das Betriebssystem Qubes 4.1 veröffentlicht, das die Idee umsetzte, mithilfe eines Hypervisors Anwendungen und Betriebssystemkomponenten strikt zu isolieren (jede Klasse von Anwendungen und Systemdiensten wird in separaten virtuellen Maschinen ausgeführt). Zum Arbeiten benötigen Sie ein System mit 6 GB RAM und einer 64-Bit-Intel- oder AMD-CPU mit Unterstützung für VT-x mit EPT/AMD-v mit RVI- und VT-d/AMD IOMMU-Technologien, vorzugsweise eine Intel-GPU (NVIDIA). und AMD-GPUs sind nicht gut getestet). Die Größe des Installationsimages beträgt 6 GB.
Anwendungen in Qubes werden je nach Bedeutung der verarbeiteten Daten und der zu lösenden Aufgaben in Klassen eingeteilt. Jede Anwendungsklasse (z. B. Arbeit, Unterhaltung, Banking) sowie Systemdienste (Netzwerksubsystem, Firewall, Speicher, USB-Stack usw.) werden in separaten virtuellen Maschinen ausgeführt, die mit dem Xen-Hypervisor ausgeführt werden. Gleichzeitig sind diese Anwendungen innerhalb desselben Desktops verfügbar und werden zur besseren Übersichtlichkeit durch unterschiedliche Farben des Fensterrahmens unterschieden. Jede Umgebung verfügt über Lesezugriff auf das zugrunde liegende Root-FS und den lokalen Speicher, der sich nicht mit dem Speicher anderer Umgebungen überschneidet; ein spezieller Dienst wird verwendet, um die Anwendungsinteraktion zu organisieren.
Als Grundlage für die Bildung virtueller Umgebungen kann die Paketbasis von Fedora und Debian verwendet werden, auch Vorlagen für Ubuntu, Gentoo und Arch Linux werden von der Community unterstützt. Es ist möglich, den Zugriff auf Anwendungen in einer virtuellen Windows-Maschine zu organisieren und virtuelle Maschinen auf Whonix-Basis zu erstellen, um anonymen Zugriff über Tor zu ermöglichen. Die Benutzer-Shell basiert auf Xfce. Wenn ein Benutzer eine Anwendung über das Menü startet, wird diese Anwendung in einer bestimmten virtuellen Maschine gestartet. Der Inhalt virtueller Umgebungen wird durch eine Reihe von Vorlagen definiert.
Wichtigste Änderungen:
- Die Möglichkeit, eine separate GUI-Domänenumgebung mit Komponenten zu verwenden, um den Betrieb der grafischen Oberfläche sicherzustellen, wurde implementiert. Zuvor lief in virtuellen Umgebungen jede Anwendungsklasse über einen separaten Steuerelemente und Grafiktreiber wurden in der Hauptsteuerungsumgebung Dom0 ausgeführt. Jetzt können grafikbezogene Funktionen von Dom0 in eine separate GUI-Domänenumgebung verschoben und von Systemverwaltungskomponenten getrennt werden. Dom0 hinterlässt lediglich einen speziellen Hintergrundprozess, um Zugriff auf bestimmte Speicherseiten zu ermöglichen. Die GUI-Domänenunterstützung ist noch experimentell und nicht standardmäßig aktiviert.
- Experimentelle Unterstützung für Audio Domain hinzugefügt, eine separate Umgebung zum Ausführen eines Audioservers, mit der Sie Komponenten für die Audioverarbeitung von Dom0 trennen können.
- Hintergrundprozess qrexec-policy und ein neues Regelsystem für den Qrexec-RPC-Mechanismus hinzugefügt, mit dem Sie Befehle im Kontext bestimmter virtueller Umgebungen ausführen können. Das Qrexec-Regelsystem bestimmt, wer was und wo in Qubes tun kann. Die neue Version der Regeln zeichnet sich durch ein flexibleres Format, eine deutliche Steigerung der Produktivität und ein Benachrichtigungssystem aus, das die Diagnose von Problemen erleichtert. Es wurde die Möglichkeit hinzugefügt, Qrexec-Dienste als Server auszuführen, auf den über einen Socket-Server zugegriffen werden kann.
- Es werden drei neue Vorlagen für virtuelle Umgebungen auf Basis von Gentoo Linux vorgeschlagen – minimal, mit Xfce und mit GNOME.
- Für die Wartung, automatisierte Zusammenstellung und das Testen zusätzlicher virtueller Umgebungsvorlagen wurde eine neue Infrastruktur implementiert. Zusätzlich zu Gentoo bietet die Infrastruktur Unterstützung für Vorlagen mit Arch Linux und Linux-Kernel-Tests.
- Das Build- und Testsystem wurde verbessert, Unterstützung für die Verifizierung im Continuous-Integration-System auf Basis von GitLab CI wurde hinzugefügt.
- Es wurde daran gearbeitet, Unterstützung für wiederholbare Builds von Debian-basierten Umgebungen zu implementieren, die verwendet werden können, um zu bestätigen, dass Qubes-Komponenten genau aus den angegebenen Quellcodes erstellt wurden und keine überflüssigen Änderungen enthalten, die beispielsweise ersetzt werden können Dies geschieht durch Angriffe auf die Assembly-Infrastruktur oder auf Lesezeichen im Compiler.
- Die Firewall-Implementierung wurde neu geschrieben.
- Die Umgebungen sys-firewall und sys-usb laufen jetzt standardmäßig im „Einweg“-Modus, d. h. sind Einwegprodukte und können bei Bedarf erstellt werden.
- Verbesserte Unterstützung für Bildschirme mit hoher Pixeldichte.
- Unterstützung für verschiedene Cursorformen hinzugefügt.
- Benachrichtigung über fehlenden freien Speicherplatz implementiert.
- Unterstützung für den paranoiden Backup-Wiederherstellungsmodus hinzugefügt, der eine einmalige virtuelle Umgebung für die Wiederherstellung verwendet.
- Mit dem Installationsprogramm können Sie für virtuelle Maschinenvorlagen zwischen Debian und Fedora wählen.
- Eine neue grafische Oberfläche zum Verwalten von Updates hinzugefügt.
- Das Dienstprogramm „Template Manager“ zum Installieren, Löschen und Aktualisieren von Vorlagen wurde hinzugefügt.
- Verbesserter Vorlagenverteilungsmechanismus.
- Die Basis-Dom0-Umgebung wurde auf die Paketbasis Fedora 32 aktualisiert. Vorlagen zum Erstellen virtueller Umgebungen wurden auf Fedora 34, Debian 11 und Whonix 16 aktualisiert. Der Linux 5.10-Kernel wird standardmäßig angeboten. Der Xen 4.14-Hypervisor und die grafische Umgebung von Xfce 4.14 wurden aktualisiert.
Source: opennet.ru