Enweghị ọtụtụ akụkọ na Habré etinyere na sistemụ arụmọrụ Qubes, ndị m ahụla anaghị akọwa ọtụtụ ahụmịhe nke iji ya. N'okpuru ịkpụ, enwere m olileanya na m ga-edozi nke a site na iji ihe atụ nke iji Qubes dị ka ụzọ nchebe (megide) gburugburu ebe obibi Windows na, n'otu oge ahụ, tụlee ọnụ ọgụgụ nke ndị na-asụ Russian na-eji usoro ahụ.
Gịnị kpatara Qubes?
Akụkọ banyere njedebe nke nkwado teknụzụ maka Windows 7 na nchegbu na-arịwanye elu nke ndị ọrụ mere ka ọ dị mkpa ịhazi ọrụ nke OS a, na-eburu n'uche ihe ndị a chọrọ:
- hụ na iji Windows 7 arụ ọrụ nke ọma na ikike onye ọrụ ịwụnye mmelite na ngwa dị iche iche (gụnyere site na ịntanetị);
- mejuputa mwepu zuru oke ma ọ bụ nhọrọ nke mmekọrịta netwọkụ dabere na ọnọdụ (ọrụ onwe ya na ụdị nzacha okporo ụzọ);
- nye ikike ijikọ ngwaọrụ na ngwaọrụ mbughari na nhọrọ.
Usoro mmachi a na-eme ka onye ọrụ kwadoro nke ọma, ebe ọ bụ na a na-ahapụ nchịkwa onwe ya, na ihe mgbochi ndị ahụ adịghị emetụta igbochi ya nwere omume, ma na-ewepu njehie nwere ike ime ma ọ bụ mmetụta software na-ebibi ihe. Ndị ahụ. Enweghị onye mejọrọ n'ime ihe nlereanya ahụ.
N'ịchọ ihe ngwọta anyị, anyị gbahapụrụ ngwa ngwa nke itinye ihe mgbochi site na iji ngwaọrụ Windows arụnyere ma ọ bụ ndị ọzọ, ebe ọ bụ na ọ siri ezigbo ike igbochi onye ọrụ nwere ikike nchịkwa, na-ahapụ ya ike ịwụnye ngwa.
Ihe ngwọta na-esote bụ ikewapụ site na iji virtualization. Ngwá ọrụ ndị a ma ama nke ọma maka desktọọpụ desktọọpụ (dịka ọmụmaatụ, dị ka virtualbox) adabaghị nke ọma maka idozi nsogbu nchekwa yana onye ọrụ ga-emerịrị ihe mgbochi ndị edepụtara site n'ịgbanwe ma ọ bụ gbanwee ihe onwunwe nke igwe mebere onye ọbịa (nke a na-ezo aka na ya). dị ka VM), nke na-abawanye ohere nke njehie.
N'otu oge ahụ, anyị nwere ahụmịhe iji Qubes dị ka sistemụ desktọpụ onye ọrụ, mana enwere obi abụọ maka nkwụsi ike nke ịrụ ọrụ na Windows ọbịa. E kpebiri ịlele ụdị Qubes dị ugbu a, ebe ọ bụ na njedebe ndị a kwuru dabara nke ọma na usoro nke usoro a, ọkachasị mmejuputa ndebiri igwe mebere na ntinye anya. Na-esote, m ga-agbalị ikwu okwu nkenke banyere echiche na ngwá ọrụ nke Qubes, na-eji ihe atụ nke idozi nsogbu ahụ.
Ụdị nke Xen virtualization
Qubes dabere na Xen hypervisor, nke na-ebelata ọrụ nke ijikwa akụrụngwa processor, ebe nchekwa na igwe mebere. Arụ ọrụ ndị ọzọ niile nwere ngwaọrụ na dom0 dabere na kernel Linux (Qubes maka dom0 na-eji nkesa Fedora).
Xen na-akwado ọtụtụ ụdị virtualization (M ga-enye ihe atụ maka ụlọ ọrụ Intel, ọ bụ ezie na Xen na-akwado ndị ọzọ):
- paravirtualization (PV) - a virtualization mode na-enweghị iji ngwaike nkwado, na-echetara nke akpa virtualization, nwere ike iji maka sistemụ na kernel emeghari (dom0 na-arụ ọrụ na nke a mode);
- Full virtualization (HVM) - na ọnọdụ a, a na-eji nkwado ngwaike maka akụrụngwa processor, a na-eṅomi akụrụngwa ndị ọzọ niile site na iji QEMU. Nke a bụ ụzọ kacha mma iji rụọ ọrụ sistemụ arụmọrụ dị iche iche;
- paravirtualization nke ngwaike (PVH - ParaVirtualized Hardware) - ọnọdụ virtualization site na iji nkwado ngwaike mgbe, iji rụọ ọrụ na ngwaike, kernel sistemu ndị ọbịa na-eji ndị ọkwọ ụgbọ ala dabara na ikike nke hypervisor (dịka ọmụmaatụ, ebe nchekwa nkekọrịta), na-ewepụ mkpa QEMU emulation. na ịbawanye arụmọrụ I/O. Linux kernel malite na 4.11 nwere ike ịrụ ọrụ na ọnọdụ a.
Malite na Qubes 4.0, maka ebumnuche nchekwa, a na-ahapụ iji ụdị paravirtualization (gụnyere n'ihi adịghị ike ama ama na ụlọ ọrụ Intel, nke a na-ebelata nke ọma site na iji ezigbo ikike zuru oke); A na-eji ọnọdụ PVH na ndabara.
Mgbe ị na-eji emulation (ụdị HVM), QEMU na-amalite na VM dịpụrụ adịpụ nke a na-akpọ stubdomain, si otú ahụ belata ihe ize ndụ nke iji njehie nwere ike ime na mmejuputa (ọrụ QEMU nwere ọtụtụ koodu, gụnyere maka ndakọrịta).
N'ọnọdụ anyị, a ga-eji ọnọdụ a maka Windows.
Igwe mebere ọrụ ọrụ
N'ime ụlọ nchekwa Qubes, otu n'ime ike dị mkpa nke hypervisor bụ ịnyefe ngwaọrụ PCI na ebe ndị ọbịa. Mwepu ngwaike na-enye gị ohere ikewapụ akụkụ nke sistemụ ahụ na mwakpo mpụga. Xen na-akwado nke a maka ụdị PV na HVM, na nke abụọ ọ chọrọ nkwado maka IOMMU (Intel VT-d) - njikwa ebe nchekwa ngwaike maka ngwaọrụ mebere.
Nke a na-emepụta ọtụtụ sistemụ mebere igwe:
- sys-net, nke a na-ebufe ngwaọrụ netwọk na nke a na-eji dị ka àkwà mmiri maka VM ndị ọzọ, dịka ọmụmaatụ, ndị na-emejuputa ọrụ nke firewall ma ọ bụ onye ahịa VPN;
- sys-usb, nke a na-ebufe USB na ndị ọzọ na-ahụ maka ngwaọrụ mkpanaka;
- sys-firewall, nke na-adịghị eji ngwaọrụ, kama ọ na-arụ ọrụ dị ka firewall maka VM ejikọrọ.
Iji jiri ngwaọrụ USB rụọ ọrụ, a na-eji ọrụ proxy, nke na-enye, na ihe ndị ọzọ:
- maka HID (ngwaọrụ interface mmadụ) klas ngwaọrụ, na-eziga iwu na dom0;
- maka mgbasa ozi mbughari, ntụgharị nke mpịakọta ngwaọrụ gaa na VM ndị ọzọ (ma ewezuga dom0);
- na-atụgharị ozugbo na ngwaọrụ USB (iji USBIP na ngwa ntinye).
Na nhazi dị otú ahụ, mwakpo na-aga nke ọma site na nchịkọta netwọk ma ọ bụ ngwaọrụ ejikọrọ nwere ike iduga na njedebe nke naanị ọrụ VM na-agba ọsọ, ọ bụghịkwa usoro dum n'ozuzu ya. Ma ka ịmalitegharịa ọrụ VM, a ga-ebunye ya na steeti mbụ ya.
Ngwa ntinye VM
Enwere ụzọ dị iche iche isi na-emekọrịta na desktọpụ nke igwe mebere - ịwụnye ngwa n'ime sistemụ ndị ọbịa ma ọ bụ iṅomi vidiyo site na iji ngwaọrụ mebere. Ngwa ndị ọbịa nwere ike ịbụ ngwaọrụ ịnweta ohere dịpụrụ adịpụ zuru ụwa ọnụ (RDP, VNC, Spice, wdg) ma ọ bụ mee ka ọ bụrụ hypervisor kpọmkwem (a na-akpọkarị ngwa ndị dị otú ahụ ngwa ndị ọbịa). A nwekwara ike iji nhọrọ agwakọta, mgbe hypervisor na-eṅomi I / O maka usoro ndị ọbịa, na mpụga na-enye ikike iji usoro nke jikọtara I / O, dịka ọmụmaatụ, dị ka Spice. N'otu oge ahụ, ngwá ọrụ ndị dịpụrụ adịpụ na-emekarị ka onyinyo ahụ dịkwuo mma, ebe ọ bụ na ha na-agụnye ịrụ ọrụ site na netwọk, nke na-adịghị enwe mmetụta dị mma na àgwà nke onyinyo ahụ.
Qubes na-enye ngwaọrụ nke ya maka ntinye VM. Nke mbụ, nke a bụ sistemụ eserese eserese - windo sitere na VM dị iche iche na-egosipụta n'otu desktọpụ nwere etiti agba nke ha. N'ozuzu, ngwaọrụ ntinye na-adabere na ike nke hypervisor - ebe nchekwa òkè (Xen Grant table), ngwaọrụ ngosi (Xen event channel), òkè nchekwa xenstore na vchan nkwurịta okwu protocol. Site n'enyemaka ha, a na-emejuputa ihe ndị bụ isi qrexec na qubes-rpc, yana ọrụ ngwa - ntụgharị ụda ma ọ bụ USB, na-ebufe faịlụ ma ọ bụ ọdịnaya nke clipboard, na-eme iwu na ịmalite ngwa. Ọ ga-ekwe omume ịtọ atumatu ga-enye gị ohere ịmachi ọrụ dị na VM. Ọnụ ọgụgụ dị n'okpuru bụ ihe atụ nke usoro maka ịmalite mmekọrịta nke VM abụọ.
Ya mere, a na-arụ ọrụ na VM na-ejighi netwọkụ, nke na-enye ohere iji VM nke kwụụrụ onwe ya mee ihe n'ụzọ zuru ezu iji zere ntapu ozi. Dịka ọmụmaatụ, otu a ka esi etinye nkewa nke arụmọrụ cryptographic (PGP/SSH), mgbe ejiri igodo nzuzo na VM dịpụrụ adịpụ ma ghara ịgafe ha.
Ụdị, ngwa na VM otu oge
A na-arụ ọrụ onye ọrụ niile na Qubes na igwe mebere. A na-eji usoro nnabata isi chịkwaa ma jiri anya nke uche hụ ha. Awụnyere OS yana igwe igwe mebere nke dabere na template (TemplateVM). Ihe ndebiri a bụ Linux VM dabere na nkesa Fedora ma ọ bụ Debian, yana ngwaọrụ ntinye arụnyere na ahaziri, yana sistemụ raara onwe ya nye na akụkụ ndị ọrụ. Ọ bụ onye njikwa ngwugwu ọkọlọtọ (dnf ma ọ bụ dabara adaba) na-arụ nwụnye na nwelite ngwanrọ site na ebe nchekwa ahaziri nwere nkwenye mbinye aka dijitalụ amanyere iwu (GnuPG). Ebumnuche nke ụdị VM dị otú ahụ bụ iji hụ na ntụkwasị obi na VM ngwa ewepụtara na ndabere ha.
Na mbido, ngwa VM (AppVM) na-eji nseta ihuenyo nkebi sistemu nke ndebiri VM kwekọrọ, ma mgbe emechara na-ehichapụ foto a na-echekwaghị mgbanwe. A na-echekwa data nke onye ọrụ chọrọ na nkebi onye ọrụ pụrụ iche maka VM ngwa ọ bụla, nke etinyere na ndekọ ụlọ.
Iji VM enwere ike iwepu (VM disposableVM) nwere ike ịba uru site na nlele nche. A na-emepụta VM dị otú ahụ na-adabere na template n'oge mmalite ma malite maka otu nzube - iji mee otu ngwa, na-emecha ọrụ mgbe emechiri ya. Enwere ike iji VM enwere ike iji mepee faịlụ enyo enyo nke ọdịnaya ha nwere ike bute nrigbu adịghị ike ngwa. A na-etinye ike ịme VM otu oge n'ime onye njikwa faili (Nautilus) na onye ahịa email (Thunderbird).
Enwere ike iji Windows VM mepụta ndebiri na VM otu oge site na ibugharị profaịlụ onye ọrụ gaa na ngalaba dị iche. Na ụdị anyị, onye ọrụ ga-eji ụdị ndebiri ahụ maka ọrụ nchịkwa yana ntinye ngwa. Dabere na ndebiri, a ga-emepụta ọtụtụ VM ngwa - yana ohere dị na netwọkụ nwere oke (ikike sys-firewall ọkọlọtọ) yana enweghị ohere na netwọkụ ma ọlị (anaghị emepụta ngwaọrụ netwọk mebere). Mgbanwe niile na ngwa arụnyere na template ga-adị maka ịrụ ọrụ na VM ndị a, ọ bụrụgodị na ewebata mmemme ibe edokọbara, ha agaghị enwe ohere netwọkụ maka imebi.
Lụọ ọgụ maka Windows
Atụmatụ akọwara n'elu bụ ntọala Qubes ma na-arụ ọrụ nke ọma; ihe isi ike na-amalite na Windows. Iji jikọta Windows, ị ga-eji otu ngwaọrụ ndị ọbịa Qubes Windows Tools (QWT), nke gụnyere ndị ọkwọ ụgbọ ala na-arụ ọrụ na Xen, onye ọkwọ ụgbọ ala qvideo na otu ngwa maka mgbanwe ozi (nbufe faịlụ, bọọdụ). A na-edekọ usoro nhazi na nhazi n'ụzọ zuru ezu na ebe nrụọrụ weebụ ọrụ, ya mere anyị ga-ekekọrịta ahụmahụ ngwa anyị.
Isi ihe isi ike bụ n'ezie enweghị nkwado maka ngwaọrụ ndị emepụtara. Ndị nrụpụta igodo (QWT) dị ka enweghị ya yana ọrụ ntinye Windows na-echere onye nrụpụta ndu. Ya mere, nke mbụ, ọ dị mkpa iji nyochaa arụmọrụ ya ma mepụta nghọta nke ohere nke ịkwado ya n'adabereghị, ma ọ bụrụ na ọ dị mkpa. Ihe kachasị sie ike ịzụlite na debug bụ onye ọkwọ ụgbọ ala, nke na-eṅomi ihe nkwụnye vidiyo na ihe ngosi iji mepụta ihe oyiyi na ebe nchekwa nkekọrịta, na-enye gị ohere igosipụta desktọọpụ dum ma ọ bụ windo ngwa ozugbo na windo usoro ụlọ ọrụ. N'oge nyocha nke ọrụ onye ọkwọ ụgbọ ala, anyị na-emegharị koodu maka mgbakọ na gburugburu Linux wee mepụta atụmatụ nbibi n'etiti sistemụ ndị ọbịa Windows abụọ. N'oge crossbuild, anyị mere ọtụtụ mgbanwe na-eme ka ihe dị mfe maka anyị, tumadi n'ihe gbasara ntinye nke "ịgbachi nkịtị" nke ihe eji eme ihe, ma wepụkwa mmebi iwe nke arụmọrụ mgbe ọ na-arụ ọrụ na VM ogologo oge. Anyị gosipụtara nsonaazụ nke ọrụ ahụ na iche , yabụ ọ bụghị ogologo oge Onye nrụpụta Qubes Lead.
Oge kachasị dị oke egwu n'ihe gbasara nkwụsi ike nke usoro ndị ọbịa bụ mmalite nke Windows, ebe a ị nwere ike ịhụ ihuenyo na-acha anụnụ anụnụ (ma ọ bụ na-ahụghị ya). Maka ọtụtụ n'ime njehie ndị achọpụtara, enwere ụzọ dị iche iche - iwepụ ndị ọkwọ ụgbọ ala Xen ngọngọ, gbanyụọ nguzozi ebe nchekwa VM, idozi ntọala netwọkụ, yana ibelata ọnụ ọgụgụ cores. Ngwa ndị ọbịa anyị na-ewulite ma na-arụ ọrụ na emelitere Windows 7 na Windows 10 (ma ewezuga qvideo).
Mgbe ị na-esi na ezigbo gburugburu gaa na nke mebere, nsogbu na-ebilite na ịgbalite Windows ma ọ bụrụ na ejiri ụdị OEM arụnyere mbụ. Sistemu ndị dị otú ahụ na-eji nkwalite dabere na ikikere akọwapụtara na UEFI ngwaọrụ. Iji hazie ọrụ ahụ n'ụzọ ziri ezi, ọ dị mkpa ịtụgharị otu n'ime akụkụ ACPI dum nke sistemụ nnabata (SLIC table) na sistemụ ndị ọbịa wee dezie ndị ọzọ ntakịrị, na-edebanye aha onye nrụpụta. Xen na-enye gị ohere ịhazi ọdịnaya ACPI nke tebụl ndị agbakwunyere, mana na-agbanweghị ndị bụ isi. Ngwunye sitere na ọrụ OpenXT yiri nke a, nke emegharịrị maka Qubes, nyere aka na ngwọta ya. Ndozi ahụ yiri ka ọ bara uru ọ bụghị naanị anyị ma sụgharịa ya na ebe nchekwa Qubes na ọbá akwụkwọ Libvirt.
Ọdịmma doro anya nke ngwaọrụ ntinye Windows gụnyere enweghị nkwado maka ọdịyo, ngwaọrụ USB, na mgbagwoju anya nke ịrụ ọrụ na mgbasa ozi, ebe ọ bụ na enweghị nkwado ngwaike maka GPU. Mana nke dị n'elu anaghị egbochi iji VM rụọ ọrụ na akwụkwọ ụlọ ọrụ, ma ọ bụ gbochie mmalite nke ngwa ụlọ ọrụ.
Ihe a chọrọ ka ịgbanwee gaa na ọnọdụ ọrụ na-enweghị netwọk ma ọ bụ na netwọk nwere oke mgbe ịmepụtara template Windows VM mezuru site na ịmepụta nhazi ngwa VM kwesịrị ekwesị, na ohere nke ịhọrọ ijikọ mgbasa ozi mbughari ka edozikwara site na ọkọlọtọ OS ngwaọrụ - mgbe ejikọtara ya. , ha dị na sistemụ VM sys-usb, ebe enwere ike ibuga ha na VM achọrọ. Desktọpụ onye ọrụ na-adị ka nke a.
Ụdị ikpeazụ nke usoro ahụ bụ nke ọma (dịka ihe ngwọta zuru oke na-enye ohere) ndị ọrụ nabatara, na ngwá ọrụ ọkọlọtọ nke usoro ahụ mere ka o kwe omume ịgbasa ngwa ahụ na ebe ọrụ mkpanaka onye ọrụ na ịnweta site na VPN.
Kama nkwubi okwu
Virtualization n'ozuzu na-enye gị ohere ibelata ihe ize ndụ nke iji sistemụ Windows na-ahapụ na-enweghị nkwado - ọ naghị amanye ndakọrịta na ngwaike ọhụrụ, ọ na-enye gị ohere iwepụ ma ọ bụ jikwaa ịnweta sistemụ na netwọkụ ma ọ bụ site na ngwaọrụ ejikọrọ, yana ọ na-enye gị ohere. mejuputa gburugburu mmalite otu oge.
Dabere na echiche nke ikewapụ onwe ya site na ịmegharị anya, Qubes OS na-enyere gị aka itinye ihe ndị a na usoro ndị ọzọ maka nchekwa. Site n'èzí, ọtụtụ ndị na-ahụ Qubes bụ isi dị ka ọchịchọ maka amaghị aha, mana ọ bụ usoro bara uru ma ndị injinia, ndị na-ejikarị arụ ọrụ, akụrụngwa, na ihe nzuzo iji nweta ha, yana maka ndị nchọpụta nchekwa. Nkewa nke ngwa, data na nhazi nke mmekọrịta ha bụ nzọụkwụ mbụ nke nyocha iyi egwu na nhazi usoro nchekwa. Nkewa a na-enyere aka ịhazi ozi ma belata ohere nke njehie n'ihi ihe mmadụ kpatara - ngwa ngwa, ike ọgwụgwụ, wdg.
Ugbu a, isi ihe a na-emesi ike na mmepe bụ ịgbasa arụmọrụ nke gburugburu Linux. A na-akwado ụdị 4.1 maka mwepụta, nke ga-adabere na Fedora 31 ma tinye ụdị dị ugbu a nke isi ihe Xen na Libvirt. Ọ dị mma ịmara na ndị ọkachamara nchekwa ozi mepụtara Qubes bụ ndị na-ewepụta mmelite ozugbo ma ọ bụrụ na achọpụtara egwu ma ọ bụ njehie ọhụrụ.
Afterword
Otu n'ime ike nnwale anyị na-etolite na-enye anyị ohere ịmepụta VM na nkwado maka ịnweta ndị ọbịa na GPU dabere na teknụzụ Intel GVT-g, nke na-enye anyị ohere iji ike nke ihe nkwụnye eserese na-agbasa ma gbasaa oke nke usoro ahụ. N'oge edere, ọrụ a na-arụ ọrụ maka nnwale nnwale nke Qubes 4.1, ma dị na ya .
isi: www.habr.com