Después de casi cuatro años de desarrollo, se lanzó el sistema operativo Qubes 4.1, que implementa la idea de utilizar un hipervisor para aislar estrictamente las aplicaciones y los componentes del sistema operativo (cada clase de aplicaciones y servicios del sistema se ejecuta en máquinas virtuales independientes). Para funcionar, necesita un sistema con 6 GB de RAM y una CPU Intel o AMD de 64 bits con soporte para tecnologías VT-x con EPT/AMD-v con RVI y VT-d/AMD IOMMU, preferiblemente una GPU Intel (NVIDIA y las GPU de AMD no están bien probadas). El tamaño de la imagen de instalación es de 6 GB.
Las aplicaciones en Qubes se dividen en clases según la importancia de los datos que se procesan y las tareas que se resuelven. Cada clase de aplicación (por ejemplo, trabajo, entretenimiento, banca), así como los servicios del sistema (subsistema de red, firewall, almacenamiento, pila USB, etc.) se ejecutan en máquinas virtuales separadas que se ejecutan con el hipervisor Xen. Al mismo tiempo, estas aplicaciones están disponibles dentro del mismo escritorio y se distinguen por su claridad por los diferentes colores del marco de la ventana. Cada entorno tiene acceso de lectura al FS raíz subyacente y al almacenamiento local que no se superpone con los almacenamientos de otros entornos; se utiliza un servicio especial para organizar la interacción de la aplicación.
La base de paquetes de Fedora y Debian se puede utilizar como base para la formación de entornos virtuales, y la comunidad también admite plantillas para Ubuntu, Gentoo y Arch Linux. Es posible organizar el acceso a las aplicaciones en una máquina virtual de Windows, así como crear máquinas virtuales basadas en Whonix para brindar acceso anónimo a través de Tor. El shell de usuario se basa en Xfce. Cuando un usuario inicia una aplicación desde el menú, esa aplicación se inicia en una máquina virtual específica. El contenido de los entornos virtuales se define mediante un conjunto de plantillas.
Cambios importantes:
- Se ha implementado la capacidad de utilizar un entorno de dominio GUI independiente con componentes para garantizar el funcionamiento de la interfaz gráfica. Anteriormente, en entornos virtuales, cada clase de aplicación ejecutaba un servidor X independiente, un administrador de ventanas simplificado y un controlador de vídeo auxiliar que traducía la salida al entorno de control en modo compuesto, pero los componentes de la pila de gráficos, el administrador de ventanas del escritorio principal, la pantalla Los controles y controladores de gráficos se ejecutaron en el entorno de control principal Dom0. Ahora las funciones relacionadas con los gráficos se pueden mover desde Dom0 a un entorno de dominio GUI separado y separarlas de los componentes de administración del sistema. Dom0 solo deja un proceso especial en segundo plano para proporcionar acceso a ciertas páginas de memoria. La compatibilidad con el dominio GUI aún es experimental y no está habilitada de forma predeterminada.
- Se agregó soporte experimental para Audio Domain, un entorno separado para ejecutar un servidor de audio que le permite separar componentes para el procesamiento de audio de Dom0.
- Se agregó el proceso en segundo plano qrexec-policy y un nuevo sistema de reglas para el mecanismo Qrexec RPC, que le permite ejecutar comandos en el contexto de entornos virtuales específicos. El sistema de reglas Qrexec determina quién puede hacer qué y dónde en Qubes. La nueva versión de las reglas presenta un formato más flexible, un aumento significativo de la productividad y un sistema de notificación que facilita el diagnóstico de problemas. Se agregó la capacidad de ejecutar servicios Qrexec como un servidor accesible a través de un servidor de socket.
- Se proponen tres nuevas plantillas para entornos virtuales basadas en Gentoo Linux: mínima, con Xfce y con GNOME.
- Se ha implementado una nueva infraestructura para el mantenimiento, montaje automatizado y prueba de plantillas de entornos virtuales adicionales. Además de Gentoo, la infraestructura brinda soporte para plantillas con Arch Linux y pruebas del kernel de Linux.
- Se mejoró el sistema de compilación y prueba, se agregó soporte para verificación en el sistema de integración continua basado en GitLab CI.
- Se ha trabajado para implementar soporte para compilaciones repetibles de entornos basados en Debian, que pueden usarse para confirmar que los componentes de Qubes se construyen exactamente a partir de los códigos fuente indicados y no contienen cambios extraños, cuya sustitución, por ejemplo, puede ser hecho atacando la infraestructura de ensamblaje o los marcadores en el compilador.
- La implementación del firewall ha sido reescrita.
- Los entornos sys-firewall y sys-usb ahora se ejecutan en modo "desechable" de forma predeterminada, es decir. son desechables y se pueden crear bajo demanda.
- Soporte mejorado para pantallas de alta densidad de píxeles.
- Se agregó soporte para diferentes formas de cursor.
- Notificación implementada sobre la falta de espacio libre en disco.
- Se agregó soporte para el modo de recuperación de respaldo paranoico, que utiliza un entorno virtual único para la recuperación.
- El instalador le permite elegir entre Debian y Fedora para plantillas de máquinas virtuales.
- Se agregó una nueva interfaz gráfica para administrar actualizaciones.
- Se agregó la utilidad Template Manager para instalar, eliminar y actualizar plantillas.
- Mecanismo de distribución de plantillas mejorado.
- El entorno base Dom0 se ha actualizado al paquete base Fedora 32. Las plantillas para crear entornos virtuales se han actualizado a Fedora 34, Debian 11 y Whonix 16. El kernel Linux 5.10 se ofrece de forma predeterminada. Se han actualizado el hipervisor Xen 4.14 y el entorno gráfico Xfce 4.14.
Fuente: opennet.ru