Δεν υπάρχουν πολλά άρθρα στο Habré αφιερωμένα στο λειτουργικό σύστημα Qubes και αυτά που έχω δει δεν περιγράφουν πολλά από την εμπειρία χρήσης του. Κάτω από την περικοπή, ελπίζω να το διορθώσω χρησιμοποιώντας το παράδειγμα χρήσης του Qubes ως μέσου προστασίας (κατά) του περιβάλλοντος των Windows και, ταυτόχρονα, να υπολογίσω τον αριθμό των ρωσόφωνων χρηστών του συστήματος.
Γιατί Qubes;
Η ιστορία του τέλους της τεχνικής υποστήριξης για τα Windows 7 και το αυξανόμενο άγχος των χρηστών οδήγησε στην ανάγκη να οργανωθεί η εργασία αυτού του λειτουργικού συστήματος, λαμβάνοντας υπόψη τις ακόλουθες απαιτήσεις:
- εξασφάλιση της χρήσης πλήρως ενεργοποιημένων Windows 7 με τη δυνατότητα του χρήστη να εγκαθιστά ενημερώσεις και διάφορες εφαρμογές (συμπεριλαμβανομένου του Διαδικτύου).
- εφαρμογή πλήρους ή επιλεκτικού αποκλεισμού αλληλεπιδράσεων δικτύου βάσει συνθηκών (αυτόνομη λειτουργία και τρόποι φιλτραρίσματος κυκλοφορίας)·
- παρέχουν τη δυνατότητα επιλεκτικής σύνδεσης αφαιρούμενων μέσων και συσκευών.
Αυτό το σύνολο περιορισμών προϋποθέτει έναν σαφώς προετοιμασμένο χρήστη, καθώς επιτρέπεται η ανεξάρτητη διαχείριση και οι περιορισμοί δεν σχετίζονται με τον αποκλεισμό πιθανών ενεργειών του, αλλά με τον αποκλεισμό πιθανών σφαλμάτων ή καταστροφικών επιπτώσεων λογισμικού. Εκείνοι. Δεν υπάρχει εσωτερικός παραβάτης στο μοντέλο.
Στην αναζήτησή μας για λύση, εγκαταλείψαμε γρήγορα την ιδέα της εφαρμογής περιορισμών χρησιμοποιώντας ενσωματωμένα ή πρόσθετα εργαλεία των Windows, καθώς είναι αρκετά δύσκολο να περιοριστεί αποτελεσματικά ένας χρήστης με δικαιώματα διαχειριστή, αφήνοντάς του τη δυνατότητα να εγκαταστήσει εφαρμογές.
Η επόμενη λύση ήταν η απομόνωση με χρήση εικονικοποίησης. Γνωστά εργαλεία για εικονικοποίηση επιτραπέζιου υπολογιστή (για παράδειγμα, το virtualbox) δεν είναι κατάλληλα για την επίλυση προβλημάτων ασφάλειας και οι περιορισμοί που αναφέρονται θα πρέπει να γίνονται από τον χρήστη με συνεχή εναλλαγή ή προσαρμογή των ιδιοτήτων της εικονικής μηχανής φιλοξενουμένων (εφεξής ως VM), γεγονός που αυξάνει τον κίνδυνο σφαλμάτων.
Ταυτόχρονα, είχαμε εμπειρία από τη χρήση του Qubes ως επιτραπέζιου συστήματος χρήστη, αλλά είχαμε αμφιβολίες σχετικά με τη σταθερότητα της εργασίας με τα Guest Windows. Αποφασίστηκε να ελεγχθεί η τρέχουσα έκδοση του Qubes, καθώς οι αναφερόμενοι περιορισμοί ταιριάζουν πολύ καλά στο παράδειγμα αυτού του συστήματος, ειδικά η υλοποίηση προτύπων εικονικών μηχανών και η οπτική ενοποίηση. Στη συνέχεια, θα προσπαθήσω να μιλήσω εν συντομία για τις ιδέες και τα εργαλεία του Qubes, χρησιμοποιώντας το παράδειγμα της επίλυσης του προβλήματος.
Τύποι εικονικοποίησης Xen
Το Qubes βασίζεται στον Xen hypervisor, ο οποίος ελαχιστοποιεί τις λειτουργίες διαχείρισης πόρων επεξεργαστή, μνήμης και εικονικών μηχανών. Όλες οι άλλες εργασίες με συσκευές συγκεντρώνονται στο dom0 με βάση τον πυρήνα Linux (το Qubes για dom0 χρησιμοποιεί τη διανομή Fedora).
Το Xen υποστηρίζει διάφορους τύπους εικονικοποίησης (θα δώσω παραδείγματα για την αρχιτεκτονική της Intel, αν και το Xen υποστηρίζει άλλους):
- Paravirtualization (PV) - μια λειτουργία εικονικοποίησης χωρίς τη χρήση υποστήριξης υλικού, που θυμίζει εικονικοποίηση κοντέινερ, μπορεί να χρησιμοποιηθεί για συστήματα με προσαρμοσμένο πυρήνα (το dom0 λειτουργεί σε αυτήν τη λειτουργία).
- πλήρης εικονικοποίηση (HVM) - σε αυτήν τη λειτουργία, η υποστήριξη υλικού χρησιμοποιείται για πόρους επεξεργαστή και όλος ο άλλος εξοπλισμός προσομοιώνεται χρησιμοποιώντας QEMU. Αυτός είναι ο πιο καθολικός τρόπος για να τρέξετε διάφορα λειτουργικά συστήματα.
- παραεικονοποίηση υλικού (PVH - ParaVirtualized Hardware) - μια λειτουργία εικονικοποίησης που χρησιμοποιεί υποστήριξη υλικού, όταν, για να εργαστεί με υλικό, ο πυρήνας του συστήματος φιλοξενούμενου χρησιμοποιεί προγράμματα οδήγησης προσαρμοσμένα στις δυνατότητες του hypervisor (για παράδειγμα, κοινή μνήμη), εξαλείφοντας την ανάγκη για εξομοίωση QEMU και αύξηση της απόδοσης I/O. Ο πυρήνας Linux που ξεκινά από την 4.11 μπορεί να λειτουργήσει σε αυτήν τη λειτουργία.
Ξεκινώντας με το Qubes 4.0, για λόγους ασφαλείας, η χρήση της λειτουργίας παραεικονικής εγκατάλειψης (συμπεριλαμβανομένων λόγω γνωστών τρωτών σημείων στην αρχιτεκτονική της Intel, τα οποία μετριάζονται εν μέρει με τη χρήση πλήρους εικονικοποίησης), η λειτουργία PVH χρησιμοποιείται από προεπιλογή.
Όταν χρησιμοποιείται εξομοίωση (λειτουργία HVM), το QEMU εκκινείται σε ένα απομονωμένο VM που ονομάζεται stubdomain, μειώνοντας έτσι τους κινδύνους εκμετάλλευσης πιθανών σφαλμάτων στην υλοποίηση (το έργο QEMU περιέχει πολύ κώδικα, συμπεριλαμβανομένης της συμβατότητας).
Στην περίπτωσή μας, αυτή η λειτουργία θα πρέπει να χρησιμοποιείται για Windows.
Εξυπηρέτηση εικονικών μηχανών
Στην αρχιτεκτονική ασφαλείας Qubes, μία από τις βασικές δυνατότητες του hypervisor είναι η μεταφορά συσκευών PCI στο περιβάλλον επισκέπτη. Η εξαίρεση υλικού σάς επιτρέπει να απομονώσετε το κεντρικό τμήμα του συστήματος από εξωτερικές επιθέσεις. Το Xen το υποστηρίζει για λειτουργίες PV και HVM, στη δεύτερη περίπτωση απαιτεί υποστήριξη για IOMMU (Intel VT-d) - διαχείριση μνήμης υλικού για εικονικοποιημένες συσκευές.
Αυτό δημιουργεί πολλές εικονικές μηχανές συστήματος:
- sys-net, στο οποίο μεταφέρονται συσκευές δικτύου και το οποίο χρησιμοποιείται ως γέφυρα για άλλα VM, για παράδειγμα, εκείνα που υλοποιούν τις λειτουργίες ενός τείχους προστασίας ή ενός πελάτη VPN.
- sys-usb, στο οποίο μεταφέρονται ελεγκτές USB και άλλων περιφερειακών συσκευών.
- sys-firewall, το οποίο δεν χρησιμοποιεί συσκευές, αλλά λειτουργεί ως τείχος προστασίας για συνδεδεμένα VM.
Για την εργασία με συσκευές USB, χρησιμοποιούνται υπηρεσίες διακομιστή μεσολάβησης, οι οποίες παρέχουν, μεταξύ άλλων:
- για την κατηγορία συσκευών HID (συσκευή ανθρώπινης διεπαφής), στέλνοντας εντολές στο dom0.
- για αφαιρούμενα μέσα, ανακατεύθυνση τόμων συσκευών σε άλλα VM (εκτός από το dom0).
- ανακατεύθυνση απευθείας σε μια συσκευή USB (χρησιμοποιώντας USBIP και εργαλεία ενσωμάτωσης).
Σε μια τέτοια διαμόρφωση, μια επιτυχημένη επίθεση μέσω της στοίβας δικτύου ή των συνδεδεμένων συσκευών μπορεί να οδηγήσει σε παραβίαση μόνο της υπηρεσίας VM που εκτελείται και όχι ολόκληρου του συστήματος. Και μετά την επανεκκίνηση της υπηρεσίας VM, θα φορτωθεί στην αρχική της κατάσταση.
Εργαλεία ενοποίησης VM
Υπάρχουν διάφοροι τρόποι αλληλεπίδρασης με την επιφάνεια εργασίας μιας εικονικής μηχανής - εγκατάσταση εφαρμογών στο σύστημα επισκεπτών ή εξομοίωση βίντεο χρησιμοποιώντας εργαλεία εικονικοποίησης. Οι εφαρμογές επισκέπτη μπορεί να είναι διάφορα εργαλεία απομακρυσμένης πρόσβασης καθολικής πρόσβασης (RDP, VNC, Spice, κ.λπ.) ή προσαρμοσμένα σε έναν συγκεκριμένο hypervisor (τέτοια εργαλεία συνήθως ονομάζονται βοηθητικά προγράμματα επισκέπτη). Μπορεί επίσης να χρησιμοποιηθεί μια μικτή επιλογή, όταν ο hypervisor προσομοιώνει I/O για το σύστημα επισκέπτη και παρέχει εξωτερικά τη δυνατότητα χρήσης ενός πρωτοκόλλου που συνδυάζει I/O, για παράδειγμα, όπως το Spice. Ταυτόχρονα, τα εργαλεία απομακρυσμένης πρόσβασης συνήθως βελτιστοποιούν την εικόνα, καθώς περιλαμβάνουν εργασία μέσω δικτύου, η οποία δεν έχει θετική επίδραση στην ποιότητα της εικόνας.
Η Qubes παρέχει τα δικά της εργαλεία για την ενσωμάτωση VM. Πρώτα απ 'όλα, αυτό είναι ένα υποσύστημα γραφικών - τα παράθυρα από διαφορετικά VM εμφανίζονται σε μία επιφάνεια εργασίας με το δικό τους πλαίσιο χρώματος. Γενικά, τα εργαλεία ολοκλήρωσης βασίζονται στις δυνατότητες του hypervisor - κοινόχρηστη μνήμη (πίνακας επιχορήγησης Xen), εργαλεία ειδοποίησης (κανάλι συμβάντων Xen), κοινόχρηστο χώρο αποθήκευσης xenstore και το πρωτόκολλο επικοινωνίας vchan. Με τη βοήθειά τους, υλοποιούνται τα βασικά στοιχεία qrexec και qubes-rpc και οι υπηρεσίες εφαρμογών - ανακατεύθυνση ήχου ή USB, μεταφορά αρχείων ή περιεχομένων του προχείρου, εκτέλεση εντολών και εκκίνηση εφαρμογών. Είναι δυνατό να ορίσετε πολιτικές που σας επιτρέπουν να περιορίσετε τις διαθέσιμες υπηρεσίες σε ένα VM. Το παρακάτω σχήμα είναι ένα παράδειγμα της διαδικασίας για την προετοιμασία της αλληλεπίδρασης δύο VM.
Έτσι, η εργασία στο VM πραγματοποιείται χωρίς τη χρήση δικτύου, το οποίο επιτρέπει την πλήρη χρήση αυτόνομων VM για την αποφυγή διαρροής πληροφοριών. Για παράδειγμα, με αυτόν τον τρόπο υλοποιείται ο διαχωρισμός κρυπτογραφικών λειτουργιών (PGP/SSH), όταν τα ιδιωτικά κλειδιά χρησιμοποιούνται σε μεμονωμένα VM και δεν υπερβαίνουν αυτά.
Πρότυπα, εφαρμογές και εικονικά μηχανήματα εφάπαξ
Όλη η εργασία των χρηστών στο Qubes γίνεται σε εικονικές μηχανές. Το κύριο σύστημα υποδοχής χρησιμοποιείται για τον έλεγχο και την οπτικοποίηση τους. Το λειτουργικό σύστημα εγκαθίσταται μαζί με ένα βασικό σύνολο εικονικών μηχανών που βασίζονται σε πρότυπα (TemplateVM). Αυτό το πρότυπο είναι ένα Linux VM που βασίζεται στη διανομή Fedora ή Debian, με εγκατεστημένα και διαμορφωμένα εργαλεία ενσωμάτωσης, καθώς και ειδικά διαμερίσματα συστήματος και χρήστη. Η εγκατάσταση και η ενημέρωση του λογισμικού πραγματοποιείται από έναν τυπικό διαχειριστή πακέτων (dnf ή apt) από διαμορφωμένα αποθετήρια με υποχρεωτική επαλήθευση ψηφιακής υπογραφής (GnuPG). Ο σκοπός τέτοιων εικονικών μηχανών είναι να διασφαλίσουν την εμπιστοσύνη στις εικονικές μηχανές εφαρμογών που λανσαρίζονται στη βάση τους.
Κατά την εκκίνηση, μια εφαρμογή VM (AppVM) χρησιμοποιεί ένα στιγμιότυπο του διαμερίσματος συστήματος του αντίστοιχου προτύπου εικονικής μηχανής και μετά την ολοκλήρωση διαγράφει αυτό το στιγμιότυπο χωρίς να αποθηκεύει τις αλλαγές. Τα δεδομένα που απαιτούνται από τον χρήστη αποθηκεύονται σε ένα διαμέρισμα χρήστη μοναδικό για κάθε εφαρμογή VM, το οποίο είναι προσαρτημένο στον αρχικό κατάλογο.
Η χρήση VM μιας χρήσης (disposableVM) μπορεί να είναι χρήσιμη από την άποψη της ασφάλειας. Ένα τέτοιο VM δημιουργείται με βάση ένα πρότυπο κατά την εκκίνηση και εκκινείται για έναν σκοπό - να εκτελέσει μία εφαρμογή, να ολοκληρώσει την εργασία αφού κλείσει. Τα VM μιας χρήσης μπορούν να χρησιμοποιηθούν για το άνοιγμα ύποπτων αρχείων των οποίων το περιεχόμενο θα μπορούσε να οδηγήσει σε εκμετάλλευση συγκεκριμένων τρωτών σημείων εφαρμογής. Η δυνατότητα εκτέλεσης μιας εφάπαξ εικονικής μηχανής είναι ενσωματωμένη στη διαχείριση αρχείων (Nautilus) και στο πρόγραμμα-πελάτη email (Thunderbird).
Το Windows VM μπορεί επίσης να χρησιμοποιηθεί για τη δημιουργία ενός προτύπου και μιας εικονικής μηχανής μίας χρήσης μετακινώντας το προφίλ χρήστη σε ξεχωριστή ενότητα. Στην έκδοσή μας, ένα τέτοιο πρότυπο θα χρησιμοποιηθεί από τον χρήστη για εργασίες διαχείρισης και εγκατάσταση εφαρμογών. Με βάση το πρότυπο, θα δημιουργηθούν πολλά VM εφαρμογών - με περιορισμένη πρόσβαση στο δίκτυο (τυπικές δυνατότητες sys-firewall) και χωρίς καθόλου πρόσβαση στο δίκτυο (δεν έχει δημιουργηθεί μια εικονική συσκευή δικτύου). Όλες οι αλλαγές και οι εφαρμογές που είναι εγκατεστημένες στο πρότυπο θα είναι διαθέσιμες για να λειτουργούν σε αυτά τα VM και ακόμη και αν εισαχθούν προγράμματα σελιδοδεικτών, δεν θα έχουν πρόσβαση στο δίκτυο για συμβιβασμό.
Αγώνας για τα Windows
Τα χαρακτηριστικά που περιγράφονται παραπάνω αποτελούν τη βάση του Qubes και λειτουργούν αρκετά σταθερά· οι δυσκολίες ξεκινούν με τα Windows. Για να ενσωματώσετε τα Windows, πρέπει να χρησιμοποιήσετε ένα σύνολο εργαλείων επισκεπτών Qubes Windows Tools (QWT), το οποίο περιλαμβάνει προγράμματα οδήγησης για εργασία με Xen, πρόγραμμα οδήγησης qvideo και ένα σύνολο βοηθητικών προγραμμάτων για ανταλλαγή πληροφοριών (μεταφορά αρχείων, πρόχειρο). Η διαδικασία εγκατάστασης και διαμόρφωσης τεκμηριώνεται λεπτομερώς στον ιστότοπο του έργου, επομένως θα μοιραστούμε την εμπειρία εφαρμογής μας.
Η κύρια δυσκολία είναι ουσιαστικά η έλλειψη υποστήριξης για τα αναπτυγμένα εργαλεία. Το Key Developers (QWT) φαίνεται να μην είναι διαθέσιμο και το έργο ενοποίησης των Windows αναμένει έναν κύριο προγραμματιστή. Ως εκ τούτου, πρώτα απ 'όλα, ήταν απαραίτητο να αξιολογηθεί η απόδοσή του και να κατανοηθεί η δυνατότητα να υποστηριχθεί ανεξάρτητα, εάν ήταν απαραίτητο. Το πιο δύσκολο στην ανάπτυξη και τον εντοπισμό σφαλμάτων είναι το πρόγραμμα οδήγησης γραφικών, το οποίο προσομοιώνει τον προσαρμογέα βίντεο και την οθόνη για να δημιουργήσει μια εικόνα στην κοινόχρηστη μνήμη, επιτρέποντάς σας να εμφανίσετε ολόκληρη την επιφάνεια εργασίας ή το παράθυρο της εφαρμογής απευθείας στο παράθυρο του συστήματος κεντρικού υπολογιστή. Κατά την ανάλυση της λειτουργίας του προγράμματος οδήγησης, προσαρμόσαμε τον κώδικα για συναρμολόγηση σε περιβάλλον Linux και επεξεργαστήκαμε ένα σχήμα εντοπισμού σφαλμάτων μεταξύ δύο φιλοξενούμενων συστημάτων των Windows. Στο στάδιο crossbuild, κάναμε αρκετές αλλαγές που απλοποίησαν τα πράγματα για εμάς, κυρίως όσον αφορά την "αθόρυβη" εγκατάσταση βοηθητικών προγραμμάτων, και επίσης εξαλείψαμε την ενοχλητική υποβάθμιση της απόδοσης όταν εργαζόμαστε σε VM για μεγάλο χρονικό διάστημα. Παρουσιάσαμε τα αποτελέσματα της εργασίας σε ξεχωριστό , επομένως όχι για πολύ Επικεφαλής προγραμματιστής Qubes.
Το πιο κρίσιμο στάδιο όσον αφορά τη σταθερότητα του συστήματος επισκεπτών είναι η εκκίνηση των Windows, εδώ μπορείτε να δείτε τη γνωστή μπλε οθόνη (ή να μην την δείτε καν). Για τα περισσότερα από τα σφάλματα που εντοπίστηκαν, υπήρχαν διάφορες λύσεις - κατάργηση προγραμμάτων οδήγησης συσκευών μπλοκ Xen, απενεργοποίηση της εξισορρόπησης μνήμης VM, διόρθωση ρυθμίσεων δικτύου και ελαχιστοποίηση του αριθμού των πυρήνων. Τα εργαλεία επισκεπτών μας δημιουργούν εγκαταστάσεις και εκτελούνται σε πλήρως ενημερωμένα Windows 7 και Windows 10 (εκτός από το qvideo).
Κατά τη μετάβαση από ένα πραγματικό περιβάλλον σε ένα εικονικό, προκύπτει πρόβλημα με την ενεργοποίηση των Windows εάν χρησιμοποιούνται προεγκατεστημένες εκδόσεις OEM. Τέτοια συστήματα χρησιμοποιούν την ενεργοποίηση βάσει αδειών που καθορίζονται στο UEFI της συσκευής. Για να επεξεργαστείτε σωστά την ενεργοποίηση, είναι απαραίτητο να μεταφράσετε μία από τις ολόκληρες ενότητες ACPI του συστήματος υποδοχής (πίνακας SLIC) στο σύστημα φιλοξενούμενων και να επεξεργαστείτε ελαφρώς τις άλλες, καταχωρώντας τον κατασκευαστή. Το Xen σάς επιτρέπει να προσαρμόσετε το περιεχόμενο ACPI πρόσθετων πινάκων, αλλά χωρίς να τροποποιήσετε τους κύριους. Ένα patch από ένα παρόμοιο έργο OpenXT, το οποίο προσαρμόστηκε για το Qubes, βοήθησε στη λύση. Οι διορθώσεις φάνηκαν χρήσιμες όχι μόνο σε εμάς και μεταφράστηκαν στο κύριο αποθετήριο του Qubes και στη βιβλιοθήκη Libvirt.
Τα προφανή μειονεκτήματα των εργαλείων ενσωμάτωσης των Windows περιλαμβάνουν την έλλειψη υποστήριξης για συσκευές ήχου, USB και την πολυπλοκότητα της εργασίας με μέσα, καθώς δεν υπάρχει υποστήριξη υλικού για τη GPU. Όμως τα παραπάνω δεν εμποδίζουν τη χρήση του VM για εργασία με έγγραφα γραφείου, ούτε εμποδίζουν την εκκίνηση συγκεκριμένων εταιρικών εφαρμογών.
Η απαίτηση μετάβασης σε κατάσταση λειτουργίας χωρίς δίκτυο ή με περιορισμένο δίκτυο μετά τη δημιουργία προτύπου Windows VM εκπληρώθηκε με τη δημιουργία των κατάλληλων διαμορφώσεων των εικονικών μηχανών εφαρμογών και η δυνατότητα επιλεκτικής σύνδεσης αφαιρούμενων μέσων επιλύθηκε επίσης με τυπικά εργαλεία λειτουργικού συστήματος - όταν συνδεθεί , είναι διαθέσιμα στο σύστημα VM sys-usb, από όπου μπορούν να «προωθηθούν» στο απαιτούμενο VM. Η επιφάνεια εργασίας του χρήστη μοιάζει κάπως έτσι.
Η τελική έκδοση του συστήματος έγινε θετικά (όσο το επιτρέπει μια τέτοια ολοκληρωμένη λύση) αποδεκτή από τους χρήστες και τα τυπικά εργαλεία του συστήματος επέτρεψαν την επέκταση της εφαρμογής στον φορητό σταθμό εργασίας του χρήστη με πρόσβαση μέσω VPN.
Αντί για ένα συμπέρασμα
Η εικονικοποίηση γενικά σάς επιτρέπει να μειώσετε τους κινδύνους χρήσης συστημάτων Windows χωρίς υποστήριξη - δεν επιβάλλει τη συμβατότητα με νέο υλικό, σας επιτρέπει να αποκλείετε ή να ελέγχετε την πρόσβαση στο σύστημα μέσω του δικτύου ή μέσω συνδεδεμένων συσκευών και σας επιτρέπει να εφαρμόστε ένα περιβάλλον εκκίνησης μίας χρήσης.
Με βάση την ιδέα της απομόνωσης μέσω εικονικοποίησης, το Qubes OS σάς βοηθά να αξιοποιήσετε αυτούς και άλλους μηχανισμούς για ασφάλεια. Εξωτερικά, πολλοί άνθρωποι βλέπουν το Qubes κυρίως ως επιθυμία για ανωνυμία, αλλά είναι ένα χρήσιμο σύστημα τόσο για μηχανικούς, που συχνά ταχυδακτυλουργούν έργα, υποδομές και μυστικά για να έχουν πρόσβαση σε αυτά, όσο και για ερευνητές ασφάλειας. Ο διαχωρισμός των εφαρμογών, των δεδομένων και η επισημοποίηση της αλληλεπίδρασής τους είναι τα αρχικά βήματα της ανάλυσης απειλών και του σχεδιασμού του συστήματος ασφαλείας. Αυτός ο διαχωρισμός βοηθά στη δομή των πληροφοριών και στη μείωση της πιθανότητας σφαλμάτων που οφείλονται στον ανθρώπινο παράγοντα - βιασύνη, κόπωση κ.λπ.
Επί του παρόντος, η κύρια έμφαση στην ανάπτυξη δίνεται στην επέκταση της λειτουργικότητας των περιβαλλόντων Linux. Η έκδοση 4.1 ετοιμάζεται για κυκλοφορία, η οποία θα βασίζεται στο Fedora 31 και θα περιλαμβάνει τις τρέχουσες εκδόσεις των βασικών στοιχείων Xen και Libvirt. Αξίζει να σημειωθεί ότι το Qubes δημιουργείται από επαγγελματίες ασφάλειας πληροφοριών, οι οποίοι πάντα κυκλοφορούν έγκαιρα ενημερώσεις εάν εντοπιστούν νέες απειλές ή σφάλματα.
Επίλογος
Μία από τις πειραματικές δυνατότητες που αναπτύσσουμε μας επιτρέπει να δημιουργήσουμε VM με υποστήριξη για πρόσβαση επισκέπτη στη GPU με βάση την τεχνολογία Intel GVT-g, η οποία μας επιτρέπει να χρησιμοποιούμε τις δυνατότητες του προσαρμογέα γραφικών και να επεκτείνουμε σημαντικά το εύρος του συστήματος. Τη στιγμή της σύνταξης, αυτή η λειτουργία λειτουργεί για δοκιμαστικές εκδόσεις του Qubes 4.1 και είναι διαθέσιμη στις .
Πηγή: www.habr.com