Níl mórán alt ar Habré dírithe ar chóras oibriúcháin Qubes, agus ní chuireann na cinn atá feicthe agam síos mórán ar an taithí a bhaineann le húsáid é. Faoi bhun an ghearrtha, tá súil agam é seo a cheartú trí úsáid a bhaint as an sampla maidir le Qubes a úsáid mar mhodh cosanta (i gcoinne) timpeallacht Windows agus, ag an am céanna, meastachán a dhéanamh ar líon úsáideoirí an chórais ina labhraítear Rúisis.
Cén fáth Qubes?
Mar gheall ar an scéal faoi dheireadh na tacaíochta teicniúla do Windows 7 agus imní mhéadaithe na n-úsáideoirí, ba ghá obair an OS seo a eagrú, agus na ceanglais seo a leanas á gcur san áireamh:
- deimhin a dhéanamh de go n-úsáidfear Windows 7 lánghníomhacha agus go mbeidh an t-úsáideoir in ann nuashonruithe agus feidhmchláir éagsúla a shuiteáil (lena n-áirítear tríd an Idirlíon);
- eisiamh iomlán nó roghnach idirghníomhaíochtaí líonra a chur chun feidhme bunaithe ar choinníollacha (oibriúchán uathrialach agus modhanna scagtha tráchta);
- an cumas meáin agus gléasanna inbhainte a nascadh go roghnach.
Toimhdíonn an tsraith srianta seo úsáideoir ullmhaithe go soiléir, ós rud é go gceadaítear riarachán neamhspleách, agus nach mbaineann na srianta le bac a chur ar a ghníomhartha féideartha, ach le hearráidí féideartha nó éifeachtaí millteach bogearraí a eisiamh. Iad siúd. Níl aon chiontóir inmheánach sa mhúnla.
Inár gcuardach ar réiteach, thréigeamar go tapa an smaoineamh srianta a chur i bhfeidhm ag baint úsáide as uirlisí Windows ionsuite nó breise, ós rud é go bhfuil sé deacair go leor srian a chur go héifeachtach ar úsáideoir le cearta riarthóra, rud a fhágann go bhfuil sé in ann feidhmchláir a shuiteáil.
Ba é an chéad réiteach eile aonrú ag baint úsáide as fíorúlú. Níl uirlisí aitheanta fíorúlaithe deisce (mar shampla, mar shampla bosca fíorúil) oiriúnach go dona chun fadhbanna slándála a réiteach agus ní mór don úsáideoir na srianta liostaithe a dhéanamh trí airíonna an mheaisín fíorúil aoi a athrú nó a choigeartú i gcónaí (dá dtagraítear anseo feasta). mar VM), rud a mhéadaíonn an baol earráidí.
Ag an am céanna, bhí taithí againn ag baint úsáide as Qubes mar chóras deisce úsáideora, ach bhí amhras againn faoi chobhsaíocht oibriú le Windows aoi. Socraíodh an leagan reatha de Qubes a sheiceáil, ós rud é go luíonn na teorainneacha luaite go han-mhaith le paraidím an chórais seo, go háirithe cur i bhfeidhm teimpléid meaisín fíorúil agus comhtháthú amhairc. Ansin, déanfaidh mé iarracht labhairt go hachomair faoi smaointe agus uirlisí Qubes, ag baint úsáide as an sampla chun an fhadhb a réiteach.
Cineálacha fíorúlú Xen
Tá Qubes bunaithe ar an hypervisor Xen, a íoslaghdaíonn na feidhmeanna a bhaineann le hacmhainní próiseálaí, cuimhne agus meaisíní fíorúla a bhainistiú. Tá gach obair eile le gléasanna comhchruinnithe in dom0 bunaithe ar an eithne Linux (úsáideann Quubes for dom0 dáileadh Fedora).
Tacaíonn Xen le roinnt cineálacha fíorúlaithe (tabharfaidh mé samplaí d'ailtireacht Intel, cé go dtacaíonn Xen le cinn eile):
- paravirtualization (PV) - is féidir modh fíorúlaithe gan úsáid a bhaint as tacaíocht crua-earraí, rud a mheabhraíonn fíorúlú coimeádáin, a úsáid le haghaidh córais le eithne oiriúnaithe (feidhmíonn dom0 sa mhodh seo);
- virtualization iomlán (HVM) - sa mhodh seo, úsáidtear tacaíocht crua-earraí le haghaidh acmhainní próiseálaí, agus déantar aithris ar gach trealamh eile ag baint úsáide as QEMU. Is é seo an bealach is uilíoch chun córais oibriúcháin éagsúla a rith;
- paravirtualization crua-earraí (PVH - Crua-earraí ParaVirtualized) - modh fíorúlaithe ag baint úsáide as tacaíocht crua-earraí nuair, chun oibriú le crua-earraí, úsáideann eithne an chórais aoi tiománaithe atá oiriúnaithe do chumais an hypervisor (mar shampla, cuimhne roinnte), ag fáil réidh leis an ngá atá le aithris QEMU. agus feidhmíocht I/O a mhéadú. Is féidir leis an eithne Linux ag tosú ó 4.11 oibriú sa mhodh seo.
Ag tosú le Qubes 4.0, ar chúiseanna slándála, déantar úsáid modh paravirtualization a thréigean (lena n-áirítear mar gheall ar leochaileachtaí aitheanta in ailtireacht Intel, a dhéantar a mhaolú go páirteach trí úsáid a bhaint as fíorúlú iomlán); úsáidtear modh PVH de réir réamhshocraithe.
Nuair a úsáidtear aithrise (modh HVM), seoltar QEMU i VM leithlis ar a dtugtar stubdomain, rud a laghdóidh an baol a bhaineann le hearráidí féideartha sa chur chun feidhme a shaothrú (tá go leor cód sa tionscadal QEMU, lena n-áirítear le haghaidh comhoiriúnachta).
In ár gcás, ba cheart an modh seo a úsáid le haghaidh Windows.
Seirbhís meaisíní fíorúil
In ailtireacht slándála Qubes, is é ceann de na príomhchumais atá ag an hypervisor ná feistí PCI a aistriú chuig an timpeallacht aoi. Ligeann eisiamh crua-earraí duit an chuid óstach den chóras a leithlisiú ó ionsaithe seachtracha. Tacaíonn Xen leis seo le haghaidh modhanna PV agus HVM, sa dara cás éilíonn sé tacaíocht do IOMMU (Intel VT-d) - bainistíocht cuimhne crua-earraí le haghaidh feistí fíorúlaithe.
Cruthaíonn sé seo roinnt meaisíní fíorúla córais:
- sys-net, a n-aistrítear feistí líonra chucu agus a úsáidtear mar dhroichead do VManna eile, mar shampla, iad siúd a chuireann feidhmeanna balla dóiteáin nó cliant VPN i bhfeidhm;
- sys-usb, a n-aistrítear USB agus rialaitheoirí gléasanna forimeallacha eile chuici;
- sys-balla dóiteáin, nach n-úsáideann gléasanna, ach a oibríonn mar bhalla dóiteáin do VManna nasctha.
Chun oibriú le gléasanna USB, úsáidtear seirbhísí seachfhreastalaí, a sholáthraíonn, i measc rudaí eile:
- don aicme feiste HID (feiste comhéadan daonna), orduithe a sheoladh chuig dom0;
- i gcás meán inbhainte, toirteanna feiste a atreorú chuig VManna eile (seachas dom0);
- a atreorú go díreach chuig gléas USB (ag baint úsáide as USBIP agus uirlisí comhtháthú).
I gcumraíocht den sórt sin, is féidir le comhréiteach an tseirbhís reatha VM amháin a bheith mar thoradh ar ionsaí rathúil tríd an gcruach líonra nó trí fheistí nasctha, agus ní an córas iomlán ina iomláine. Agus tar éis an tseirbhís VM a atosú, déanfar é a luchtú ina stát bunaidh.
Uirlisí comhtháthú VM
Tá roinnt bealaí ann chun idirghníomhú le deasc meaisín fíorúil - feidhmchláir a shuiteáil sa chóras aoi nó aithris a dhéanamh ar fhíseáin ag baint úsáide as uirlisí fíorúlaithe. Is féidir le hiarratais aoi a bheith ina n-uirlisí cianrochtana uilíocha éagsúla (RDP, VNC, Spice, etc.) nó a oiriúnú do hypervisor ar leith (is gnách go dtugtar fóntais aoi ar uirlisí den sórt sin). Is féidir rogha mheasctha a úsáid freisin, nuair a dhéanann an hypervisor aithris ar I/O don chóras aoi, agus go soláthraíonn sé go seachtrach an cumas chun prótacal a úsáid a chomhcheanglaíonn I/O, mar shampla, mar Spice. Ag an am céanna, is gnách go n-uasmhéadaíonn uirlisí cianrochtana an íomhá, ós rud é go mbaineann siad le bheith ag obair trí líonra, nach bhfuil tionchar dearfach aige ar cháilíocht na híomhá.
Soláthraíonn Qubes a chuid uirlisí féin le haghaidh comhtháthú VM. Ar an gcéad dul síos, is fochóras grafaicí é seo - taispeántar fuinneoga ó VManna éagsúla ar dheasc amháin lena bhfráma datha féin. Go ginearálta, tá uirlisí comhtháthú bunaithe ar chumais an hypervisor - cuimhne roinnte (tábla deontais Xen), uirlisí fógra (cainéal imeacht Xen), xenstore stórála roinnte agus prótacal cumarsáide vchan. Le cabhair uathu, cuirtear na comhpháirteanna bunúsacha qrexec agus qubes-rpc, agus seirbhísí feidhmchláir i bhfeidhm - atreorú fuaime nó USB, comhaid nó ábhar gearrthaisce a aistriú, orduithe a fhorghníomhú agus feidhmchláir a sheoladh. Is féidir polasaithe a shocrú a cheadaíonn duit teorainn a chur leis na seirbhísí atá ar fáil ar VM. Is sampla é an figiúr thíos den nós imeachta chun idirghníomhú dhá VM a thosú.
Mar sin, déantar obair sa VM gan úsáid a bhaint as líonra, a cheadaíonn úsáid iomlán a bhaint as VManna uathrialaitheacha chun sceitheadh faisnéise a sheachaint. Mar shampla, is é seo an chaoi a gcuirtear scaradh oibríochtaí cripteagrafacha (PGP/SSH) i bhfeidhm, nuair a úsáidtear eochracha príobháideacha i VManna iargúlta agus nach dtéann siad níos faide ná iad.
Teimpléid, feidhmchláir agus VManna aonuaire
Déantar gach obair úsáideora i Qubes i meaisíní fíorúla. Úsáidtear an príomhchóras óstach chun iad a rialú agus a léirshamhlú. Tá an OS suiteáilte mar aon le sraith bhunúsach de mheaisíní fíorúla atá bunaithe ar theimpléad (TemplateVM). Is Linux VM é an teimpléad seo bunaithe ar dháileadh Fedora nó Debian, le huirlisí comhtháthú suiteáilte agus cumraithe, agus deighiltí tiomnaithe córais agus úsáideoirí. Déanann bainisteoir pacáiste caighdeánach (dnf nó apt) ó stórtha cumraithe a bhfuil fíorú sínithe digiteach éigeantach (GnuPG) bogearraí a shuiteáil agus a nuashonrú. Is é cuspóir na VManna sin muinín a chinntiú i VManna feidhmchláir a sheoltar ar a mbonn.
Ag am tosaithe, úsáideann feidhmchlár VM (AppVM) pictiúr de dheighilt an chórais den teimpléad VM comhfhreagrach, agus nuair a bhíonn sé críochnaithe scriostar an pictiúr seo gan athruithe a shábháil. Stóráiltear na sonraí a theastaíonn ón úsáideoir i ndeighilt úsáideora uathúil do gach feidhmchlár VM, atá suite san eolaire baile.
Is féidir úsáid a bhaint as VManna indiúscartha (VM indiúscartha) a bheith úsáideach ó thaobh na slándála de. Cruthaítear VM den sórt sin bunaithe ar theimpléad ag an am tosaithe agus seoltar é chun críche amháin - iarratas amháin a fhorghníomhú, obair a chríochnú tar éis é a dhúnadh. Is féidir VManna indiúscartha a úsáid chun comhaid amhrasacha a oscailt a bhféadfadh leochaileachtaí feidhmchláir ar leith a shaothrú as a n-ábhar. Tá an cumas VM aonuaire a reáchtáil comhtháite sa bhainisteoir comhad (Nautilus) agus cliant ríomhphoist (Thunderbird).
Is féidir Windows VM a úsáid freisin chun teimpléad agus VM aonuaire a chruthú tríd an bpróifíl úsáideora a bhogadh go rannóg ar leith. In ár leagan, úsáidfidh an t-úsáideoir teimpléad den sórt sin le haghaidh tascanna riaracháin agus suiteáil feidhmchlár. Bunaithe ar an teimpléad, cruthófar roinnt VManna feidhmchláir - le rochtain theoranta ar an líonra (cumais chaighdeánacha balla dóiteáin córais) agus gan rochtain ar an líonra ar chor ar bith (ní chruthaítear gléas líonra fíorúil). Beidh gach athrú agus feidhmchlár atá suiteáilte sa teimpléad ar fáil chun oibriú sna VManna seo, agus fiú má thugtar isteach cláir leabharmharcanna, ní bheidh rochtain líonra acu le haghaidh comhréitigh.
Troid le haghaidh Windows
Tá na gnéithe a gcuirtear síos orthu thuas mar bhunús le Qubes agus oibríonn siad go measartha cobhsaí; tosaíonn na deacrachtaí le Windows. Chun Windows a chomhtháthú, ní mór duit sraith uirlisí aoi Qubes Windows Tools (QWT) a úsáid, lena n-áirítear tiománaithe chun oibriú le Xen, tiománaí qvideo agus sraith fóntais le haghaidh malartú faisnéise (aistriú comhad, gearrthaisce). Tá an próiseas suiteála agus cumraíochta doiciméadaithe go mion ar shuíomh Gréasáin an tionscadail, mar sin déanfaimid ár dtaithí iarratais a roinnt.
Is é an deacracht is mó go bunúsach ná an easpa tacaíochta do na huirlisí forbartha. Is cosúil nach bhfuil Príomhfhorbróirí (QWT) ar fáil agus tá tionscadal comhtháthú Windows ag fanacht le príomhfhorbróir. Dá bhrí sin, ar an gcéad dul síos, bhí sé riachtanach a fheidhmíocht a mheas agus tuiscint a fháil ar an bhféidearthacht tacú leis go neamhspleách, más gá. Is é an ceann is deacra a fhorbairt agus a dhífhabhtú an tiománaí grafaicí, a emulates an adapter físeán agus a thaispeáint chun íomhá a ghiniúint i gcuimhne roinnte, a ligeann duit a thaispeáint ar an deasc iomlán nó an fhuinneog iarratais go díreach i bhfuinneog an chórais óstach. Le linn na hanailíse ar oibriú an tiománaí, d'oiriúnaíomar an cód le haghaidh cóimeála i dtimpeallacht Linux agus d'oibrigh muid amach scéim dífhabhtaithe idir dhá chóras aoi Windows. Ag an gcéim tras-thógála, rinneamar roinnt athruithe a rinne rudaí a shimpliú dúinn, go príomha i dtéarmaí suiteáil “chiúin” fóntais, agus chuireamar deireadh freisin le díghrádú annoying na feidhmíochta agus muid ag obair i VM ar feadh i bhfad. Chuireamar torthaí na hoibre i láthair ar leithligh , dá bhrí sin ní ar feadh i bhfad Forbróir Luaidhe Qubes.
Is é an chéim is tábhachtaí maidir le cobhsaíocht an chórais aoi ná tosaithe Windows, anseo is féidir leat an scáileán gorm eolach a fheiceáil (nó ní fiú é a fheiceáil). Don chuid is mó de na hearráidí a aithníodh, bhí réitigh oibre éagsúla ann - deireadh a chur le tiománaithe gléas bloc Xen, díchumasú cothromaíocht cuimhne VM, socruithe líonra a shocrú, agus líon na gcroíthe a íoslaghdú. Déanann ár n-aoi-uirlisí a thógáil suiteáil agus rith ar Windows 7 agus Windows 10 atá nuashonraithe go hiomlán (seachas qvideo).
Nuair a bhogtar ó thimpeallacht fíor go timpeallacht fhíorúil, tagann fadhb chun cinn maidir le Windows a ghníomhachtú má úsáidtear leaganacha OEM réamhshuiteáilte. Úsáideann córais den sórt sin gníomhachtú bunaithe ar cheadúnais atá sonraithe in UEFI na feiste. Chun an gníomhachtú a phróiseáil i gceart, is gá ceann de na hailt ACPI iomlán den chóras óstach (tábla SLIC) a aistriú chuig an gcóras aoi agus na cinn eile a chur in eagar beagán, ag clárú an mhonaróra. Ceadaíonn Xen duit ábhar ACPI táblaí breise a shaincheapadh, ach gan na príomhchinn a mhodhnú. Chuidigh paiste ó thionscadal OpenXT den chineál céanna, a cuireadh in oiriúint do Qubes, leis an réiteach. Bhí an chuma ar na réitigh úsáideacha ní hamháin dúinne agus aistríodh iad go príomh-stór Qubes agus leabharlann Libvirt.
I measc na míbhuntáistí soiléire a bhaineann le huirlisí comhtháthú Windows tá an easpa tacaíochta do ghléasanna fuaime, USB, agus castacht oibriú leis na meáin, ós rud é nach bhfuil aon tacaíocht crua-earraí ann don GPU. Ach ní chuireann an méid thuas cosc ar úsáid an VM chun oibriú le doiciméid oifige, ná ní chuireann sé cosc ar fheidhmchláir chorparáideacha ar leith a sheoladh.
Comhlíonadh an ceanglas chun aistriú go mód oibriúcháin gan líonra nó le líonra teoranta tar éis teimpléad Windows VM a chruthú trí chumraíochtaí cuí VManna iarratais a chruthú, agus réitigh uirlisí caighdeánacha OS freisin an fhéidearthacht meáin inbhainte a nascadh go roghnach - nuair a bhí siad ceangailte. , tá siad ar fáil sa chóras VM sys-usb, ónar féidir iad a "chur ar aghaidh" chuig an VM riachtanach. Breathnaíonn deasc an úsáideora rud éigin mar seo.
Ghlac úsáideoirí go dearfach leis an leagan deiridh den chóras (chomh fada agus a cheadaíonn réiteach cuimsitheach den sórt sin) agus d’éirigh le huirlisí caighdeánacha an chórais an feidhmchlár a leathnú chuig stáisiún oibre soghluaiste an úsáideora le rochtain trí VPN.
In ionad a thabhairt i gcrích
Ligeann fíorúlú go ginearálta duit na rioscaí a bhaineann le córais Windows a úsáid a fhágtar gan tacaíocht a laghdú - ní chuireann sé iallach ar chomhoiriúnacht le crua-earraí nua, ceadaíonn sé duit rochtain ar an gcóras a eisiamh nó a rialú thar an líonra nó trí fheistí nasctha, agus ligeann sé duit rochtain ar an gcóras a eisiamh nó a rialú. timpeallacht seolta aonuaire a chur i bhfeidhm.
Bunaithe ar an smaoineamh aonrú trí fhíorúilithe, cuidíonn Qubes OS leat iad seo agus meicníochtaí eile slándála a ghiaráil. Ón taobh amuigh, féachann go leor daoine ar Qubes go príomha mar mhian le haghaidh anaithnideacht, ach is córas úsáideach é d'innealtóirí, a bhíonn ag déileáil le tionscadail, bonneagair agus rúin go minic chun rochtain a fháil orthu, agus do thaighdeoirí slándála. Is iad deighilt feidhmchlár, sonraí agus foirmeáltacht a n-idirghníomhaíochta na céimeanna tosaigh d’anailís bagairtí agus dearadh córais slándála. Cuidíonn an scaradh seo le faisnéis a struchtúrú agus laghdaítear an dóchúlacht go dtarlóidh earráidí mar gheall ar an bhfachtóir daonna - haste, tuirse, etc.
Faoi láthair, tá an phríomhbhéim san fhorbairt ar fheidhmiúlacht timpeallachtaí Linux a leathnú. Tá leagan 4.1 á ullmhú le haghaidh scaoileadh, a bheidh bunaithe ar Fedora 31 agus a chuimseoidh leaganacha reatha de na príomh-chomhpháirteanna Xen agus Libvirt. Is fiú a thabhairt faoi deara go bhfuil Qubes cruthaithe ag gairmithe slándála faisnéise a scaoileann nuashonruithe go pras i gcónaí má aithnítear bagairtí nó earráidí nua.
Afterword
Ligeann ceann de na cumais turgnamhacha atá á bhforbairt againn VManna a chruthú le tacaíocht do rochtain aíonna ar an GPU bunaithe ar theicneolaíocht Intel GVT-g, a ligeann dúinn cumais an oiriúnaitheora grafaicí a úsáid agus raon feidhme an chórais a leathnú go suntasach. Agus é seo á scríobh, oibríonn an fheidhmiúlacht seo le haghaidh tógálacha tástála Qubes 4.1, agus tá sé ar fáil ar .
Foinse: will.com