Après près de quatre ans de développement, Qubes 4.1 est disponible. Il implémente le concept d'hyperviseur pour une isolation stricte des applications et des composants du système d'exploitation (chaque classe d'application et de services système s'exécute sur des machines virtuelles distinctes). Il nécessite un système doté de 6 Go de RAM et d'un processeur Intel ou AMD 64 bits prenant en charge les technologies VT-x avec EPT/AMD-v avec RVI et VT-d/AMD IOMMU. Un processeur graphique Intel est recommandé (les GPU NVIDIA et AMD n'ont pas été suffisamment testés). La taille de l'image d'installation est de 6 Go.
Les applications dans Qubes sont divisées en classes en fonction de l'importance des données en cours de traitement et des tâches en cours de résolution. Chaque classe d'application (par exemple, travail, divertissement, banque) ainsi que les services système (sous-système réseau, pare-feu, stockage, pile USB, etc.) s'exécutent sur des machines virtuelles distinctes qui s'exécutent à l'aide de l'hyperviseur Xen. Dans le même temps, ces applications sont disponibles sur le même bureau et se distinguent pour plus de clarté par différentes couleurs du cadre de la fenêtre. Chaque environnement dispose d'un accès en lecture au FS racine sous-jacent et au stockage local qui ne chevauche pas les stockages d'autres environnements ; un service spécial est utilisé pour organiser l'interaction des applications.
La base de paquets Fedora peut être utilisée comme base pour créer des environnements virtuels et Debian, modèles pour UbuntuGentoo et Arch LinuxIl est possible d'organiser l'accès aux applications dans une machine virtuelle avec Windows, ainsi que la création machines virtuelles Ce système utilise Whonix pour assurer un accès anonyme via Tor. Son interface utilisateur est basée sur Xfce. Lorsqu'un utilisateur lance une application depuis le menu, celle-ci s'exécute dans une machine virtuelle spécifique. Le contenu de ces environnements virtuels est déterminé par un ensemble de modèles.
Les principaux changements:
- La possibilité d'utiliser un environnement de domaine GUI distinct avec des composants prenant en charge l'interface graphique a été implémentée. Auparavant, les environnements virtuels de chaque classe d'application lançaient un serveur X distinct, un gestionnaire de fenêtres simplifié et un pilote vidéo stub qui traduisait la sortie vers l'environnement de contrôle en mode composite. Cependant, les composants de la pile graphique, le gestionnaire de fenêtres principal du bureau, les outils de gestion d'écran et les pilotes graphiques s'exécutaient dans l'environnement de contrôle principal, Dom0. Désormais, les fonctions graphiques peuvent être déplacées de Dom0 vers un environnement de domaine GUI distinct et séparées des composants de gestion système. Seul un processus d'arrière-plan spécifique subsiste dans Dom0 pour donner accès à des pages mémoire spécifiques. La prise en charge du domaine GUI est actuellement expérimentale et n'est pas activée par défaut.
- Ajout d'une prise en charge expérimentale pour Audio Domain, un environnement distinct pour la réalisation audio serveur, qui vous permet de sélectionner les composants pour le traitement audio à partir de Dom0.
- Le processus d'arrière-plan qrexec-policy et un nouveau système de règles pour le mécanisme RPC Qrexec ont été ajoutés, permettant l'exécution de commandes dans le contexte d'environnements virtuels spécifiques. Le système de règles Qrexec détermine qui peut faire quoi et où dans Qubes. Les nouvelles règles offrent un format plus flexible, des performances nettement améliorées et un système de notifications simplifiant le diagnostic des problèmes. La possibilité d'exécuter les services Qrexec en tant que serveur de sockets a été ajoutée.
- Trois nouveaux modèles d'environnements virtuels basés sur Gentoo sont disponibles. Linux — minimaliste, avec Xfce et GNOME.
- Une nouvelle infrastructure a été mise en place pour la maintenance, la création automatisée et le test de modèles d'environnements virtuels supplémentaires. Outre Gentoo, cette infrastructure prend désormais en charge les modèles Arch. Linux et tests du noyau Linux.
- Le système de construction et de test a été amélioré et la prise en charge des tests dans un système d'intégration continue basé sur GitLab CI a été ajoutée.
- Des travaux ont été menés pour mettre en œuvre la prise en charge des constructions reproductibles d'environnements basés sur Debian, qui peut être utilisé pour confirmer que les composants Qubes ont été construits à partir du code source déclaré et ne contiennent aucune modification superflue qui pourrait être substituée, par exemple, en attaquant l'infrastructure de construction ou par des portes dérobées dans le compilateur.
- L'implémentation du pare-feu a été réécrite.
- Les environnements sys-firewall et sys-usb fonctionnent désormais en mode « jetable » par défaut, ce qui signifie qu'ils sont jetables et peuvent être créés à la demande.
- Prise en charge améliorée des écrans à haute densité de pixels.
- Ajout de la prise en charge de différentes formes de curseur.
- Affichage implémenté d'une notification concernant un espace disque libre insuffisant.
- Ajout de la prise en charge d'un mode de restauration de sauvegarde paranoïaque, qui utilise un environnement virtuel unique pour la restauration.
- Le programme d'installation offre la possibilité de choisir entre Debian et Fedora pour les modèles de machines virtuelles.
- Ajout d'une nouvelle interface graphique pour la gestion des mises à jour.
- Ajout de l'utilitaire Template Manager pour l'installation, la suppression et la mise à jour des modèles.
- Mécanisme de distribution de modèles amélioré.
- L'environnement de base Dom0 a été mis à jour vers la base de paquets Fedora 32. Les modèles de création d'environnements virtuels ont été mis à jour vers Fedora 34. Debian 11 et Whonix 16. Le noyau par défaut est Linux 5.10. L'hyperviseur Xen 4.14 et l'environnement graphique Xfce 4.14 ont été mis à jour.
Source: opennet.ru
