Chan eil mòran artaigilean air Habré coisrigte do shiostam-obrachaidh Qubes, agus chan eil an fheadhainn a chunnaic mi a’ toirt cunntas air mòran den eòlas air a bhith ga chleachdadh. Fon gearradh, tha mi an dòchas seo a cheartachadh le bhith a 'cleachdadh an eisimpleir de bhith a' cleachdadh Qubes mar dhòigh dìon (an-aghaidh) àrainneachd Windows agus, aig an aon àm, tuairmse a dhèanamh air an àireamh de luchd-cleachdaidh Ruiseanach a tha a 'bruidhinn air an t-siostam.
Carson a tha Qubes?
Mar thoradh air an sgeulachd mu dheireadh taic theicnigeach airson Windows 7 agus barrachd iomagain luchd-cleachdaidh bha feum air obair an OS seo a chuir air dòigh, a’ toirt aire do na riatanasan a leanas:
- dèanamh cinnteach gun cleachdar Windows 7 làn-ghnìomhach le comas don neach-cleachdaidh ùrachaidhean agus diofar thagraidhean a chuir a-steach (a’ gabhail a-steach tron eadar-lìn);
- cuir an gnìomh às-dùnadh iomlan no roghnach eadar-obrachaidhean lìonra stèidhichte air suidheachaidhean (obrachadh neo-eisimeileach agus modhan sìolaidh trafaic);
- thoir comas air meadhanan agus innealan a ghabhas toirt air falbh a cheangal gu roghnach.
Tha an seata seo de chuingealachaidhean a’ gabhail ris gu bheil neach-cleachdaidh air ullachadh gu soilleir, leis gu bheil rianachd neo-eisimeileach ceadaichte, agus chan eil na cuingeachaidhean co-cheangailte ri bhith a’ cur bacadh air na gnìomhan a dh’ fhaodadh a bhith aige, ach a bhith a’ dùnadh a-mach mearachdan a dh’ fhaodadh a bhith ann no buaidhean millteach bathar-bog. An fheadhainn sin. Chan eil eucoirich a-staigh sa mhodail.
Anns an rannsachadh againn airson fuasgladh, thrèig sinn gu sgiobalta am beachd mu bhith a’ cur an gnìomh chuingealachaidhean a’ cleachdadh innealan Windows togte no a bharrachd, leis gu bheil e gu math duilich casg a chuir air neach-cleachdaidh le còraichean rianadair gu h-èifeachdach, a’ fàgail comas air tagraidhean a chuir a-steach.
B’ e an ath fhuasgladh aonaranachd a’ cleachdadh virtualization. Tha innealan ainmeil airson virtualization deasg (mar eisimpleir, leithid virtualbox) gu math freagarrach airson fuasgladh fhaighinn air duilgheadasan tèarainteachd agus feumaidh an neach-cleachdaidh na cuingeadan clàraichte a dhèanamh le bhith ag atharrachadh no ag atharrachadh feartan an inneal brìgheil aoighean (air an ainmeachadh an-seo. mar VM), a tha ag àrdachadh cunnart mhearachdan.
Aig an aon àm, bha eòlas againn air Qubes a chleachdadh mar shiostam deasg neach-cleachdaidh, ach bha teagamhan againn mu sheasmhachd a bhith ag obair le aoigh Windows. Chaidh co-dhùnadh sùil a thoirt air an dreach làithreach de Qubes, leis gu bheil na crìochan ainmichte a’ freagairt gu math ri paradigm an t-siostaim seo, gu sònraichte buileachadh teamplaidean inneal brìgheil agus amalachadh lèirsinneach. An ath rud, feuchaidh mi ri bruidhinn goirid mu bheachdan agus innealan Qubes, a’ cleachdadh an eisimpleir airson fuasgladh fhaighinn air an duilgheadas.
Seòrsan virtualization Xen
Tha Qubes stèidhichte air an Xen hypervisor, a lughdaicheas gnìomhan riaghladh goireasan pròiseasar, cuimhne agus innealan brìgheil. Tha a h-uile obair eile le innealan stèidhichte ann an dom0 stèidhichte air an kernel Linux (tha Qubes airson dom0 a’ cleachdadh cuairteachadh Fedora).
Tha Xen a’ toirt taic do ghrunn sheòrsan virtualization (bheir mi eisimpleirean airson ailtireachd Intel, ged a tha Xen a’ toirt taic do chàch):
- paravirtualization (PV) - faodar modh virtualization gun a bhith a’ cleachdadh taic bathar-cruaidh, a tha coltach ri virtualization container, a chleachdadh airson siostaman le kernel atharraichte (tha dom0 ag obair sa mhodh seo);
- làn virtualization (HVM) - sa mhodh seo, thathas a’ cleachdadh taic bathar-cruaidh airson goireasan giullachd, agus tha a h-uile uidheamachd eile air aithris le bhith a’ cleachdadh QEMU. Is e seo an dòigh as cruinne air diofar shiostaman obrachaidh a ruith;
- paravirtualization bathar-cruaidh (PVH - Bathar-cruaidh ParaVirtualized) - modh virtualization a ’cleachdadh taic bathar-cruaidh nuair, gus obrachadh le bathar-cruaidh, bidh kernel an t-siostam aoighean a’ cleachdadh draibhearan a tha air an atharrachadh gu comasan an hypervisor (mar eisimpleir, cuimhne co-roinnte), a ’cur às don fheum air aithris QEMU agus ag àrdachadh coileanadh I/O. Faodaidh an kernel Linux a tha a’ tòiseachadh bho 4.11 obrachadh sa mhodh seo.
A ’tòiseachadh le Qubes 4.0, airson adhbharan tèarainteachd, tha cleachdadh modh paravirtualization air a thrèigsinn (a’ toirt a-steach mar thoradh air so-leòntachd aithnichte ann an ailtireachd Intel, a tha gu ìre air a lasachadh le bhith a ’cleachdadh làn virtualization); Tha modh PVH air a chleachdadh gu bunaiteach.
Nuair a bhios tu a’ cleachdadh emulation (modh HVM), thèid QEMU a chuir air bhog ann an VM iomallach ris an canar stubdomain, mar sin a’ lughdachadh nan cunnartan bho bhith a’ gabhail brath air mearachdan a dh’ fhaodadh a bhith ann am buileachadh (tha tòrr còd anns a’ phròiseact QEMU, a’ gabhail a-steach co-chòrdalachd).
Anns a 'chùis againn, bu chòir am modh seo a chleachdadh airson Windows.
Seirbheis mas-fhìor innealan
Ann an ailtireachd tèarainteachd Qubes, is e aon de phrìomh chomasan an hypervisor gluasad innealan PCI gu àrainneachd nan aoighean. Leigidh às-dùnadh bathar-cruaidh leat am pàirt aoigheachd den t-siostam a sgaradh bho ionnsaighean bhon taobh a-muigh. Tha Xen a’ toirt taic dha seo airson modhan PV agus HVM, anns an dàrna cùis tha feum air taic airson IOMMU (Intel VT-d) - stiùireadh cuimhne bathar-cruaidh airson innealan brìgheil.
Bidh seo a’ cruthachadh grunn innealan brìgheil siostam:
- sys-net, dha bheil innealan lìonra air an gluasad agus a tha air a chleachdadh mar dhrochaid airson VMn eile, mar eisimpleir, an fheadhainn a tha a 'cur an gnìomh gnìomhan balla-teine no neach-dèiligidh VPN;
- sys-usb, dhan tèid USB agus luchd-riaghlaidh innealan iomaill eile a ghluasad;
- sys-firewall, nach eil a 'cleachdadh innealan, ach a tha ag obair mar bhalla-teine airson VMan ceangailte.
Gus obrachadh le innealan USB, thathas a’ cleachdadh seirbheisean progsaidh, a bheir seachad, am measg rudan eile:
- airson clas inneal HID (inneal eadar-aghaidh daonna), a’ cur òrdughan gu dom0;
- airson meadhanan a ghabhas toirt air falbh, ath-stiùireadh meudan innealan gu VMn eile (ach a-mhàin dom0);
- ath-stiùireadh gu dìreach gu inneal USB (a 'cleachdadh USBIP agus innealan amalachaidh).
Ann an leithid de rèiteachadh, faodaidh ionnsaigh shoirbheachail tron chruach lìonra no innealan ceangailte leantainn gu co-rèiteachadh dìreach an t-seirbheis ruith VM, agus chan e an siostam gu lèir gu h-iomlan. Agus às deidh an t-seirbheis VM ath-thòiseachadh, thèid a luchdachadh anns an stàit thùsail aige.
Innealan amalachadh VM
Tha grunn dhòighean ann air eadar-obrachadh le deasg inneal brìgheil - a’ stàladh thagraidhean san t-siostam aoighean no a ’dèanamh atharrais air bhidio a’ cleachdadh innealan virtualization. Faodaidh tagraidhean aoighean a bhith nan diofar innealan ruigsinneachd iomallach uile-choitcheann (RDP, VNC, Spice, msaa) no air an atharrachadh gu hypervisor sònraichte (mar as trice canar goireasan aoighean ris na h-innealan sin). Faodar roghainn measgaichte a chleachdadh cuideachd, nuair a bhios an hypervisor ag aithris I / O airson an t-siostam aoighean, agus air an taobh a-muigh a’ toirt seachad comas protocol a chleachdadh a bhios a ’cothlamadh I / O, mar eisimpleir, mar Spice. Aig an aon àm, mar as trice bidh innealan ruigsinneachd iomallach a 'dèanamh an ìomhaigh as fheàrr, seach gu bheil iad a' toirt a-steach a bhith ag obair tro lìonra, nach eil a 'toirt buaidh mhath air càileachd an ìomhaigh.
Tha Qubes a’ toirt seachad na h-innealan aige fhèin airson amalachadh VM. An toiseach, is e fo-shiostam grafaigean a tha seo - tha uinneagan bho dhiofar VM air an taisbeanadh air aon deasg leis an fhrèam dath aca fhèin. San fharsaingeachd, tha innealan amalachaidh stèidhichte air comasan an hypervisor - cuimhne co-roinnte (clàr tabhartais Xen), innealan fios (sianal tachartas Xen), xenstore stòraidh co-roinnte agus protocol conaltraidh vchan. Leis an cuideachadh, tha na pàirtean bunaiteach qrexec agus qubes-rpc, agus seirbheisean tagraidh air an cur an gnìomh - ath-stiùireadh claisneachd no USB, gluasad faidhlichean no susbaint clipboard, cur an gnìomh òrdughan agus cur air bhog thagraidhean. Tha e comasach poileasaidhean a shuidheachadh a leigeas leat na seirbheisean a tha rim faighinn air VM a chuingealachadh. Tha am figear gu h-ìosal na eisimpleir den dòigh-obrach airson eadar-obrachadh dà VM a thòiseachadh.
Mar sin, thathas a ’dèanamh obair anns an VM gun a bhith a’ cleachdadh lìonra, a leigeas le làn chleachdadh de VMan fèin-riaghailteach gus aodion fiosrachaidh a sheachnadh. Mar eisimpleir, is ann mar seo a thèid sgaradh gnìomhachd criptografach (PGP / SSH) a chuir an gnìomh, nuair a bhios iuchraichean prìobhaideach gan cleachdadh ann an VMan iomallach agus nach tèid iad nas fhaide na iad.
Teamplaidean, tagradh agus VMan aon-ùine
Tha a h-uile obair cleachdaiche ann an Qubes air a dhèanamh ann an innealan brìgheil. Tha am prìomh shiostam aoigheachd air a chleachdadh gus smachd a chumail orra agus an sealladh. Tha an OS air a chuir a-steach còmhla ri seata bunaiteach de dh’ innealan brìgheil stèidhichte air teamplaid (TemplateVM). Is e Linux VM a th’ anns an teamplaid seo stèidhichte air cuairteachadh Fedora no Debian, le innealan amalachaidh air an cur a-steach agus air an rèiteachadh, agus sgaradh siostam agus cleachdaiche sònraichte. Bidh stàladh agus ùrachadh bathar-bog air a dhèanamh le manaidsear pacaid àbhaisteach (dnf no apt) bho stòran rèiteachaidh le dearbhadh ainm-sgrìobhte didseatach èigneachail (GnuPG). Is e adhbhar an leithid de VMan dèanamh cinnteach à earbsa ann an VMn tagraidh a thèid a chuir air bhog air an stèidh aca.
Aig toiseach tòiseachaidh, bidh tagradh VM (AppVM) a’ cleachdadh dealbh de sgaradh siostam an teamplaid VM co-fhreagarrach, agus nuair a bhios e deiseil cuir às don dealbh seo gun a bhith a’ sàbhaladh atharrachaidhean. Tha an dàta a dh’ fheumas an neach-cleachdaidh air a stòradh ann am pàirt cleachdaiche gun samhail airson gach tagradh VM, a tha air a chuir suas san eòlaire dachaigh.
Faodaidh cleachdadh VMan cuidhteasach (VM disposable) a bhith feumail bho shealladh tèarainteachd. Tha an leithid de VM air a chruthachadh stèidhichte air teamplaid aig àm tòiseachaidh agus thèid a chuir air bhog airson aon adhbhar - aon iarrtas a chuir an gnìomh, a ’crìochnachadh obair às deidh dha a bhith dùinte. Faodar VMan cuidhteasach a chleachdadh gus faidhlichean amharasach fhosgladh a dh’ fhaodadh an t-susbaint aca leantainn gu brath air so-leòntachd tagraidh sònraichte. Tha an comas VM aon-ùine a ruith air fhilleadh a-steach don mhanaidsear faidhle (Nautilus) agus teachdaiche post-d (Thunderbird).
Faodar Windows VM a chleachdadh cuideachd gus teamplaid agus VM aon-ùine a chruthachadh le bhith a’ gluasad ìomhaigh an neach-cleachdaidh gu roinn air leth. Anns an dreach againn, thèid an leithid de theamplaid a chleachdadh leis an neach-cleachdaidh airson gnìomhan rianachd agus stàladh tagraidh. Stèidhichte air an teamplaid, thèid grunn VMan tagraidh a chruthachadh - le ruigsinneachd cuibhrichte air an lìonra (comasan àbhaisteach sys-firewall) agus às aonais ruigsinneachd air an lìonra idir (chan eil inneal lìonra brìgheil air a chruthachadh). Bidh a h-uile atharrachadh agus tagradh a tha air a chuir a-steach san teamplaid ri fhaighinn gus obrachadh anns na VMn sin, agus eadhon ged a thèid prògraman comharra-leabhair a thoirt a-steach, cha bhith cothrom lìonra aca airson co-rèiteachadh.
A ' sabaid airson Windows
Tha na feartan a tha air am mìneachadh gu h-àrd nam bunait airson Qubes agus bidh iad ag obair gu math seasmhach; bidh na duilgheadasan a’ tòiseachadh le Windows. Gus Windows fhilleadh a-steach, feumaidh tu seata de dh ’innealan aoigheachd Qubes Windows Tools (QWT) a chleachdadh, a tha a’ toirt a-steach draibhearan airson a bhith ag obair le Xen, draibhear qvideo agus seata de ghoireasan airson iomlaid fiosrachaidh (gluasad faidhle, clipboard). Tha am pròiseas stàlaidh is rèiteachaidh air a chlàradh gu mionaideach air làrach-lìn a’ phròiseict, agus mar sin roinnidh sinn ar n-eòlas tagraidh.
Is e am prìomh dhuilgheadas gu bunaiteach an dìth taic airson na h-innealan leasaichte. Tha e coltach nach eil Prìomh Luchd-leasachaidh (QWT) ri fhaighinn agus tha pròiseact amalachaidh Windows a’ feitheamh ri prìomh leasaiche. Mar sin, an toiseach bha e riatanach a choileanadh a mheasadh agus tuigse fhaighinn air comasachd taic a thoirt dha gu neo-eisimeileach, ma tha sin riatanach. Is e an rud as duilghe a leasachadh agus a dheasbad an draibhear grafaiceachd, a bhios ag atharrais air an inneal-atharrachaidh bhidio agus an taisbeanadh gus ìomhaigh a ghineadh ann an cuimhne co-roinnte, a’ toirt cothrom dhut an deasg gu lèir no uinneag an tagraidh a thaisbeanadh gu dìreach ann an uinneag an t-siostam aoigheachd. Rè an anailis air gnìomhachd an dràibhear, dh'atharraich sinn an còd airson co-chruinneachadh ann an àrainneachd Linux agus dh'obraich sinn a-mach sgeama deasbaid eadar dà shiostam aoigheachd Windows. Aig an ìre tar-togail, rinn sinn grunn atharrachaidhean a rinn cùisean nas sìmplidhe dhuinn, gu h-àraidh a thaobh stàladh “sàmhach” de ghoireasan, agus cuideachd a chuir às don ìsleachadh ann an coileanadh nuair a bha sinn ag obair ann an VM airson ùine mhòr. Thaisbean sinn toraidhean ar n-obair ann an tè eile , mar sin chan ann fada Prìomh leasaiche Qubes.
Is e an ìre as deatamaiche a thaobh seasmhachd siostam aoighean tòiseachadh Windows, an seo chì thu an scrion gorm air a bheil thu eòlach (no chan fhaic thu eadhon e). Airson a’ mhòr-chuid de na mearachdan a chaidh a chomharrachadh, bha diofar dhòighean-obrach ann - cuir às do dhraibhearan inneal bloc Xen, dì-chomasachadh cothromachadh cuimhne VM, suidheachadh shuidheachaidhean lìonra, agus lughdaich an àireamh de choraichean. Bidh na h-innealan aoigheachd againn a’ togail agus a ’ruith air adhart gu h-iomlan Windows 7 agus Windows 10 (ach a-mhàin qvideo).
Nuair a ghluaiseas tu bho fhìor àrainneachd gu àrainneachd bhrìgheil, bidh duilgheadas ag èirigh le bhith a’ cur Windows an gnìomh ma thèid dreachan OEM ro-stàlaichte a chleachdadh. Bidh siostaman mar seo a’ cleachdadh gnìomhachd stèidhichte air ceadan a chaidh a shònrachadh ann an UEFI an inneal. Gus an gnìomh a phròiseasadh gu ceart, feumar aon de na h-earrannan ACPI gu lèir den t-siostam aoigheachd (clàr SLIC) eadar-theangachadh chun t-siostam aoighean agus beagan deasaich an fheadhainn eile, a ’clàradh an neach-dèanamh. Leigidh Xen leat susbaint ACPI de chlàran a bharrachd a ghnàthachadh, ach gun a bhith ag atharrachadh na prìomh fheadhainn. Chuidich pìos bho phròiseact coltach ri OpenXT, a chaidh atharrachadh airson Qubes, leis an fhuasgladh. Bha coltas gu robh na fuasglaidhean feumail chan ann a-mhàin dhuinne agus chaidh an eadar-theangachadh gu prìomh stòr Qubes agus leabharlann Libvirt.
Tha eas-bhuannachdan follaiseach innealan amalachaidh Windows a’ toirt a-steach dìth taic airson claisneachd, innealan USB, agus iom-fhillteachd a bhith ag obair le meadhanan, leis nach eil taic bathar-cruaidh ann airson an GPU. Ach chan eil na tha gu h-àrd a’ cur bacadh air cleachdadh an VM airson a bhith ag obair le sgrìobhainnean oifis, agus chan eil e a’ cur casg air tagraidhean corporra sònraichte a chuir air bhog.
Chaidh an riatanas atharrachadh gu modh obrachaidh às aonais lìonra no le lìonra cuibhrichte às deidh teamplaid Windows VM a chruthachadh a choileanadh le bhith a ’cruthachadh rèiteachaidhean iomchaidh de VMn tagraidh, agus chaidh an comas air meadhanan a ghabhas toirt air falbh a cheangal gu roghnach fhuasgladh le innealan àbhaisteach OS - nuair a bha iad ceangailte. , tha iad rim faighinn san t-siostam VM sys-usb, às am faodar an “cur air adhart” chun VM a tha a dhìth. Tha deasg an neach-cleachdaidh a 'coimhead rudeigin mar seo.
Chaidh gabhail ris an dreach mu dheireadh den t-siostam gu dearbhach (cho fad ‘s a cheadaicheas fuasgladh cho farsaing) le luchd-cleachdaidh, agus rinn innealan àbhaisteach an t-siostaim e comasach an tagradh a leudachadh gu stèisean-obrach gluasadach an neach-cleachdaidh le ruigsinneachd tro VPN.
An àite a bhith co-dhùnadh
Leigidh virtualization san fharsaingeachd leat na cunnartan bho bhith a’ cleachdadh siostaman Windows a dh’ fhàgas gun taic a lughdachadh - cha bhith e a’ sparradh co-chòrdalachd le bathar-cruaidh ùr, leigidh e leat casg no smachd a chumail air ruigsinneachd don t-siostam thairis air an lìonra no tro innealan ceangailte, agus leigidh e leat sin a dhèanamh. cuir àrainneachd cur air bhog aon-ùine an gnìomh.
Stèidhichte air a’ bheachd air aonaranachd tro virtualization, bidh Qubes OS gad chuideachadh gus iad sin agus uidheamachdan eile airson tèarainteachd a luathachadh. Bhon taobh a-muigh, tha mòran dhaoine a’ faicinn Qubes gu sònraichte mar mhiann airson gun urra, ach tha e na shiostam feumail an dà chuid dha innleadairean, a bhios gu tric a’ juggle pròiseactan, bun-structaran agus dìomhaireachdan gus faighinn thuca, agus airson luchd-rannsachaidh tèarainteachd. Is e sgaradh thagraidhean, dàta agus foirmeil an eadar-obrachadh na ceumannan tùsail ann am mion-sgrùdadh bagairt agus dealbhadh siostam tèarainteachd. Bidh an sgaradh seo a’ cuideachadh le bhith a’ structaradh fiosrachaidh agus a’ lughdachadh an coltas gum bi mearachdan ann mar thoradh air a’ bhàillidh daonna - cabhag, sgìths, msaa.
An-dràsta, tha a’ phrìomh chudrom ann an leasachadh air a bhith a’ leudachadh comas-gnìomh àrainneachdan Linux. Thathas ag ullachadh dreach 4.1 airson a leigeil ma sgaoil, a bhios stèidhichte air Fedora 31 agus a’ toirt a-steach dreachan gnàthach de na prìomh phàirtean Xen agus Libvirt. Is fhiach a bhith mothachail gu bheil Qubes air a chruthachadh le proifeiseantaich tèarainteachd fiosrachaidh a bhios an-còmhnaidh a ’leigeil a-mach ùrachaidhean gu sgiobalta ma thèid bagairtean no mearachdan ùra a chomharrachadh.
Post-d gu caraid
Leigidh aon de na comasan deuchainneach a tha sinn a’ leasachadh leinn VMan a chruthachadh le taic airson ruigsinneachd aoighean air an GPU stèidhichte air teicneòlas Intel GVT-g, a leigeas leinn comasan an inneal-atharrachaidh grafaigs a chleachdadh agus farsaingeachd an t-siostaim a leudachadh gu mòr. Aig àm sgrìobhaidh, tha an gnìomh seo ag obair airson togail deuchainn Qubes 4.1, agus tha e ri fhaighinn air .
Source: www.habr.com