Það eru ekki margar greinar um Habré helgaðar Qubes stýrikerfinu og þær sem ég hef séð lýsa ekki miklu af reynslunni af notkun þess. Fyrir neðan niðurskurðinn vonast ég til að leiðrétta þetta með því að nota dæmið um að nota Qubes sem vörn (gegn) Windows umhverfinu og á sama tíma áætla fjölda rússneskumælandi notenda kerfisins.
Af hverju Qubes?
Sagan um endalok tækniaðstoðar fyrir Windows 7 og aukinn kvíða notenda leiddu til þess að nauðsynlegt var að skipuleggja vinnu þessa stýrikerfis með hliðsjón af eftirfarandi kröfum:
- tryggja notkun fullvirks Windows 7 með getu fyrir notandann til að setja upp uppfærslur og ýmis forrit (þar á meðal í gegnum internetið);
- innleiða algjöra eða sértæka útilokun á netsamskiptum á grundvelli aðstæðna (sjálfstætt starfræksla og umferðarsíunarstillingar);
- veita möguleika á að tengja færanlegan miðla og tæki valinlega.
Þetta sett af takmörkunum gerir ráð fyrir að notandi sé vel undirbúinn, þar sem sjálfstæð stjórnsýsla er leyfð og takmarkanirnar tengjast ekki því að hindra hugsanlegar aðgerðir hans, heldur útiloka hugsanlegar villur eða eyðileggjandi hugbúnaðaráhrif. Þeir. Það er enginn innri brotamaður í líkaninu.
Í leit okkar að lausn, yfirgáfum við fljótt hugmyndina um að innleiða takmarkanir með því að nota innbyggða eða viðbótar Windows verkfæri, þar sem það er frekar erfitt að takmarka notanda með stjórnandaréttindi í raun, sem gerir honum kleift að setja upp forrit.
Næsta lausn var einangrun með sýndarvæðingu. Þekkt verkfæri fyrir sýndarvæðingu skjáborðs (td eins og virtualbox) henta illa til að leysa öryggisvandamál og upptaldar takmarkanir verða að gera af notandanum með því að skipta stöðugt um eða stilla eiginleika sýndarvél gesta (hér á eftir vísað til sem VM), sem eykur hættuna á villum.
Á sama tíma höfðum við reynslu af því að nota Qubes sem skjáborðskerfi notanda, en höfðum efasemdir um stöðugleika þess að vinna með Windows gesta. Ákveðið var að athuga núverandi útgáfu af Qubes, þar sem tilgreindar takmarkanir passa mjög vel inn í hugmyndafræði þessa kerfis, sérstaklega innleiðingu sýndarvélasniðmáta og sjónrænnar samþættingar. Næst mun ég reyna að tala stuttlega um hugmyndir og verkfæri Qubes, með því að nota dæmi um að leysa vandamálið.
Tegundir Xen sýndarvæðingar
Qubes er byggt á Xen hypervisor, sem lágmarkar aðgerðir við að stjórna örgjörvaauðlindum, minni og sýndarvélum. Öll önnur vinna með tæki er einbeitt í dom0 byggt á Linux kjarna (Qubes fyrir dom0 notar Fedora dreifingu).
Xen styður nokkrar gerðir af sýndarvæðingu (ég mun gefa dæmi um Intel arkitektúr, þó Xen styðji aðrar):
- paravirtualization (PV) - sýndarvæðingarhamur án þess að nota vélbúnaðarstuðning, sem minnir á sýndarvæðingu gáma, er hægt að nota fyrir kerfi með aðlagaðan kjarna (dom0 starfar í þessum ham);
- full virtualization (HVM) - í þessum ham er vélbúnaðarstuðningur notaður fyrir örgjörvaauðlindir og allur annar búnaður er líkt eftir með QEMU. Þetta er alhliða leiðin til að keyra ýmis stýrikerfi;
- paravirtualization á vélbúnaði (PVH - ParaVirtualized Hardware) - sýndarvæðingarhamur sem notar vélbúnaðarstuðning þegar, til að vinna með vélbúnað, notar gestakerfiskjarninn rekla sem eru aðlagaðir að getu hypervisor (til dæmis samnýtt minni), sem útilokar þörfina fyrir QEMU eftirlíkingu og auka I/O frammistöðu. Linux kjarninn frá og með 4.11 getur virkað í þessum ham.
Frá og með Qubes 4.0, af öryggisástæðum, er hætt að nota paravirtualization ham (þar á meðal vegna þekktra veikleika í Intel arkitektúr, sem eru að hluta til mildaðir með því að nota fulla sýndarvæðingu); PVH hamur er sjálfgefið notaður.
Þegar hermigerð (HVM hamur) er notaður er QEMU hleypt af stokkunum í einangruðu VM sem kallast stubdomain og dregur þar með úr hættunni á að nýta hugsanlegar villur í útfærslunni (QEMU verkefnið inniheldur mikið af kóða, þar á meðal fyrir samhæfni).
Í okkar tilviki ætti að nota þessa stillingu fyrir Windows.
Þjónusta sýndarvélar
Í Qubes öryggisarkitektúrnum er einn af lykilmöguleikum hypervisor flutningur PCI tækja í gestaumhverfið. Útilokun vélbúnaðar gerir þér kleift að einangra hýsilhluta kerfisins frá utanaðkomandi árásum. Xen styður þetta fyrir PV og HVM stillingar, í öðru tilvikinu krefst það stuðning fyrir IOMMU (Intel VT-d) - vélbúnaðarminnisstjórnun fyrir sýndartæki.
Þetta skapar nokkrar sýndarvélar kerfisins:
- sys-net, sem nettæki eru flutt yfir á og sem eru notuð sem brú fyrir aðrar VM, til dæmis þær sem útfæra virkni eldveggs eða VPN biðlara;
- sys-usb, sem USB og önnur jaðartækisstýringar eru fluttar til;
- sys-eldvegg, sem notar ekki tæki, en virkar sem eldveggur fyrir tengdar VMs.
Til að vinna með USB-tækjum er notast við proxy-þjónustu sem veitir m.a.:
- fyrir HID (mannaviðmótstæki) tækjaflokkinn, sendir skipanir til dom0;
- fyrir færanlegan miðla, tilvísun á hljóðstyrk tækisins til annarra VMs (nema fyrir dom0);
- beina beint yfir á USB tæki (með USBIP og samþættingartæki).
Í slíkri uppsetningu getur árangursrík árás í gegnum netstaflann eða tengd tæki leitt til málamiðlunar á aðeins keyrandi þjónustu VM, en ekki allt kerfið í heild. Og eftir að hafa endurræst þjónustu VM verður það hlaðið í upprunalegt ástand.
VM samþættingartæki
Það eru nokkrar leiðir til að hafa samskipti við skjáborð sýndarvélar - að setja upp forrit í gestakerfið eða líkja eftir myndbandi með sýndarverkfærum. Gestaforrit geta verið ýmis alhliða fjaraðgangsverkfæri (RDP, VNC, Spice o.s.frv.) eða aðlöguð að ákveðnum hypervisor (slík verkfæri eru venjulega kölluð gestatól). Einnig er hægt að nota blandaðan valmöguleika þegar hypervisor líkir eftir I/O fyrir gestakerfið og gefur ytra möguleika á að nota samskiptareglur sem sameinar I/O, til dæmis eins og Spice. Jafnframt hagræða fjaraðgangsverkfæri venjulega myndina, þar sem þau fela í sér að vinna í gegnum netkerfi, sem hefur ekki jákvæð áhrif á gæði myndarinnar.
Qubes útvegar sín eigin verkfæri fyrir VM samþættingu. Í fyrsta lagi er þetta grafískt undirkerfi - gluggar frá mismunandi VM eru birtir á einu skjáborði með eigin litaramma. Almennt séð eru samþættingartæki byggð á getu hypervisor - samnýtt minni (Xen styrktafla), tilkynningaverkfæri (Xen viðburðarrás), samnýtt geymslu xenstore og vchan samskiptareglur. Með hjálp þeirra eru grunnþættirnir qrexec og qubes-rpc, og forritaþjónusta útfærð - hljóð- eða USB-framvísun, flutningur á skrám eða innihaldi klemmuspjalds, framkvæmt skipanir og ræst forrit. Það er hægt að setja reglur sem gera þér kleift að takmarka þá þjónustu sem er í boði á VM. Myndin hér að neðan er dæmi um aðferð til að frumstilla samspil tveggja VM.
Þannig fer vinna í VM fram án þess að nota net, sem gerir fulla notkun á sjálfstæðum VM til að forðast leka upplýsinga. Þannig er til dæmis útfært aðskilnaður dulritunaraðgerða (PGP/SSH) þegar einkalyklar eru notaðir í einangruðum VM og fara ekki út fyrir þá.
Sniðmát, forrit og einu sinni VM
Öll vinna notenda í Qubes fer fram í sýndarvélum. Aðalhýsingarkerfið er notað til að stjórna þeim og sjá fyrir þeim. Stýrikerfið er sett upp ásamt grunnsettu af sýndarvélum sem byggja á sniðmátum (TemplateVM). Þetta sniðmát er Linux VM byggt á Fedora eða Debian dreifingunni, með samþættingarverkfærum uppsettum og stilltum og sérstökum kerfis- og notendaskiptingum. Uppsetning og uppfærsla hugbúnaðar fer fram af venjulegum pakkastjóra (dnf eða apt) frá stilltum geymslum með lögboðinni stafrænni undirskriftarstaðfestingu (GnuPG). Tilgangur slíkra VM er að tryggja traust á VM forritum sem eru hleypt af stokkunum á grundvelli þeirra.
Við ræsingu notar VM forrit (AppVM) skyndimynd af kerfisskiptingu samsvarandi VM sniðmáts og þegar henni er lokið eyðir þetta skyndimynd án þess að vista breytingar. Gögnin sem notandinn þarfnast eru geymd í notendasneiði sem er einstakt fyrir hverja VM forrita, sem er fest í heimaskránni.
Notkun einnota VM (einnota VM) getur verið gagnlegt frá öryggissjónarmiði. Slík VM er búin til á grundvelli sniðmáts við ræsingu og er ræst í einum tilgangi - til að keyra eitt forrit, klára vinnu eftir að því er lokað. Einnota VM er hægt að nota til að opna grunsamlegar skrár þar sem innihald þeirra gæti leitt til hagnýtingar á sérstökum veikleikum forrita. Hæfni til að keyra einu sinni VM er samþætt í skráasafnið (Nautilus) og tölvupóstforritið (Thunderbird).
Einnig er hægt að nota Windows VM til að búa til sniðmát og einu sinni VM með því að færa notandasniðið í sérstakan hluta. Í okkar útgáfu mun slíkt sniðmát vera notað af notandanum fyrir stjórnunarverkefni og uppsetningu forrita. Byggt á sniðmátinu verða nokkrir VM forrita búnir til - með takmarkaðan aðgang að netinu (venjulegur sys-eldveggmöguleiki) og alls án aðgangs að netinu (sýndarnetstæki er ekki búið til). Allar breytingar og forrit sem eru sett upp í sniðmátinu verða tiltækar til að virka í þessum VM, og jafnvel þótt bókamerkjaforrit séu kynnt, munu þau ekki hafa netaðgang til málamiðlunar.
Berjast fyrir Windows
Eiginleikarnir sem lýst er hér að ofan eru grundvöllur Qubes og virka nokkuð stöðugt; erfiðleikarnir byrja með Windows. Til að samþætta Windows verður þú að nota sett af gestaverkfærum Qubes Windows Tools (QWT), sem inniheldur rekla til að vinna með Xen, qvideo rekla og sett af tólum fyrir upplýsingaskipti (skráaflutningur, klemmuspjald). Uppsetningar- og stillingarferlið er skjalfest ítarlega á vefsíðu verkefnisins, þannig að við munum deila reynslu okkar af forritinu.
Helsti erfiðleikinn er í raun skortur á stuðningi við þróuð verkfæri. Lykilhönnuðir (QWT) virðast ekki vera tiltækir og Windows samþættingarverkefnið bíður leiðandi þróunaraðila. Því var fyrst og fremst nauðsynlegt að leggja mat á frammistöðu þess og mynda sér skilning á því að hægt væri að styðja það sjálfstætt ef á þyrfti að halda. Erfiðast að þróa og kemba er grafíkrekillinn, sem líkir eftir myndbreytinum og skjánum til að búa til mynd í sameiginlegu minni, sem gerir þér kleift að birta allt skjáborðið eða forritsgluggann beint í hýsilkerfisglugganum. Við greiningu á rekstri ökumanns aðlöguðum við kóðann fyrir samsetningu í Linux umhverfi og útfærðum villuleitarkerfi á milli tveggja Windows gestakerfa. Á krossbyggingarstigi gerðum við nokkrar breytingar sem einfaldaðu hlutina fyrir okkur, aðallega hvað varðar „hljóðlausa“ uppsetningu á tólum, og útilokuðum einnig pirrandi skerðingu á frammistöðu þegar unnið var í VM í langan tíma. Við kynntum niðurstöður vinnu okkar í sérstakri , þannig ekki lengi Leiðandi Qubes hönnuður.
Mikilvægasta stigið hvað varðar stöðugleika gestakerfisins er gangsetning Windows, hér geturðu séð kunnuglega bláa skjáinn (eða ekki einu sinni séð hann). Fyrir flestar auðkenndar villur voru ýmsar lausnir - að útrýma Xen blokk tækjarekla, slökkva á VM minni jafnvægi, laga netstillingar og lágmarka fjölda kjarna. Gestaverkfæri okkar byggja upp og keyra á fullkomlega uppfærðum Windows 7 og Windows 10 (nema qvideo).
Þegar farið er úr raunverulegu umhverfi í sýndarumhverfi kemur upp vandamál við að virkja Windows ef foruppsettar OEM útgáfur eru notaðar. Slík kerfi nota virkjun byggða á leyfum sem tilgreind eru í UEFI tækisins. Til að vinna úr virkjuninni á réttan hátt er nauðsynlegt að þýða einn af öllum ACPI hlutunum í hýsingarkerfinu (SLIC töflunni) yfir á gestakerfið og breyta hinum örlítið og skrá framleiðandann. Xen gerir þér kleift að sérsníða ACPI innihald viðbótartafla, en án þess að breyta þeim helstu. Plástur úr svipuðu OpenXT verkefni, sem var aðlagað fyrir Qubes, hjálpaði við lausnina. Lagfæringarnar virtust ekki aðeins gagnlegar fyrir okkur og voru þýddar á aðal Qubes geymsluna og Libvirt bókasafnið.
Augljósir ókostir við samþættingartæki Windows eru meðal annars skortur á stuðningi við hljóð, USB tæki og flókið að vinna með miðla, þar sem enginn vélbúnaður er til staðar fyrir GPU. En ofangreint kemur ekki í veg fyrir notkun VM til að vinna með skrifstofuskjöl, né kemur í veg fyrir að tiltekin fyrirtækjaforrit séu opnuð.
Kröfunni um að skipta yfir í rekstrarham án netkerfis eða með takmörkuðu neti eftir að búið var til Windows VM sniðmát var uppfyllt með því að búa til viðeigandi stillingar á VM forritum, og möguleikinn á að tengja færanlegan miðil valinn var einnig leystur með venjulegum stýrikerfisverkfærum - þegar þeir voru tengdir , þær eru fáanlegar í VM sys-usb kerfinu, þaðan sem hægt er að „framsenda“ þær á nauðsynlegan VM. Skrifborð notandans lítur einhvern veginn svona út.
Lokaútgáfa kerfisins var jákvæð (eftir því sem slík heildarlausn leyfir) samþykkt af notendum og stöðluð verkfæri kerfisins gerðu það mögulegt að stækka forritið á farsímavinnustöð notandans með aðgangi í gegnum VPN.
Í stað þess að niðurstöðu
Sýndarvæðing gerir þér almennt kleift að draga úr hættunni á því að nota Windows kerfi sem eru eftir án stuðnings - hún þvingar ekki fram samhæfni við nýjan vélbúnað, hún gerir þér kleift að útiloka eða stjórna aðgangi að kerfinu í gegnum netið eða í gegnum tengd tæki og það gerir þér kleift að innleiða einu sinni sjósetningarumhverfi.
Byggt á hugmyndinni um einangrun í gegnum sýndarvæðingu hjálpar Qubes OS þér að nýta þessar og aðrar leiðir til öryggis. Að utan líta margir á Qubes fyrst og fremst sem þrá eftir nafnleynd, en það er gagnlegt kerfi bæði fyrir verkfræðinga, sem oft tefldu um verkefni, innviði og leyndarmál til að fá aðgang að þeim, og fyrir öryggisrannsakendur. Aðskilnaður forrita, gagna og formfesting á samskiptum þeirra eru fyrstu skref ógnagreiningar og öryggiskerfishönnunar. Þessi aðskilnaður hjálpar til við að skipuleggja upplýsingar og draga úr líkum á villum vegna mannlegs þáttar - fljótfærni, þreytu o.s.frv.
Eins og er er megináherslan í þróun á að auka virkni Linux umhverfisins. Verið er að undirbúa útgáfu 4.1 til útgáfu, sem mun byggjast á Fedora 31 og innihalda núverandi útgáfur af lykilþáttunum Xen og Libvirt. Þess má geta að Qubes er búið til af upplýsingaöryggissérfræðingum sem gefa alltaf út uppfærslur án tafar ef nýjar ógnir eða villur koma í ljós.
Eftirsögn
Einn af tilraunahæfileikunum sem við erum að þróa gerir okkur kleift að búa til VM með stuðningi fyrir aðgang gesta að GPU sem byggir á Intel GVT-g tækni, sem gerir okkur kleift að nota möguleika skjákortsins og stækka umfang kerfisins verulega. Þegar þetta er skrifað virkar þessi virkni fyrir prufusmíðar af Qubes 4.1 og er fáanlegur á .
Heimild: www.habr.com