Dopo quasi quattro anni di sviluppo, è stato rilasciato il sistema operativo Qubes 4.1, che implementa l'idea di utilizzare un hypervisor per isolare rigorosamente le applicazioni e i componenti del sistema operativo (ogni classe di applicazioni e servizi di sistema viene eseguita in macchine virtuali separate). Per funzionare è necessario un sistema con 6 GB di RAM e una CPU Intel o AMD a 64 bit con supporto per VT-x con EPT/AMD-v con tecnologie RVI e VT-d/AMD IOMMU, preferibilmente una GPU Intel (NVIDIA e le GPU AMD non sono ben testate). La dimensione dell'immagine di installazione è 6 GB.
Le applicazioni in Qubes sono suddivise in classi a seconda dell'importanza dei dati elaborati e dei compiti da risolvere. Ciascuna classe di applicazioni (ad esempio lavoro, intrattenimento, operazioni bancarie), nonché servizi di sistema (sottosistema di rete, firewall, archiviazione, stack USB, ecc.), vengono eseguiti in macchine virtuali separate eseguite utilizzando l'hypervisor Xen. Allo stesso tempo, queste applicazioni sono disponibili sullo stesso desktop e sono evidenziate per maggiore chiarezza con diversi colori delle cornici delle finestre. Ogni ambiente ha accesso in lettura al file system root sottostante e all'archiviazione locale, che non si sovrappone all'archiviazione di altri ambienti; un servizio speciale viene utilizzato per organizzare l'interazione dell'applicazione.
Il pacchetto base Fedora e Debian può essere utilizzato come base per la creazione di ambienti virtuali; anche i modelli per Ubuntu, Gentoo e Arch Linux sono supportati dalla comunità. È possibile organizzare l'accesso alle applicazioni in una macchina virtuale Windows, nonché creare macchine virtuali basate su Whonix per fornire accesso anonimo tramite Tor. La shell utente è costruita su Xfce. Quando un utente avvia un'applicazione dal menu, l'applicazione si avvia in una macchina virtuale specifica. Il contenuto degli ambienti virtuali è determinato da una serie di modelli.
Principali modifiche:
- È stata implementata la possibilità di utilizzare un ambiente di dominio GUI separato con componenti per garantire il funzionamento dell'interfaccia grafica. In precedenza, negli ambienti virtuali, ogni classe di applicazione eseguiva un server X separato, un gestore di finestre semplificato e un driver video stub che traduceva l'output nell'ambiente di controllo in modalità composita, ma i componenti dello stack grafico, il gestore delle finestre del desktop principale, lo schermo controlli e driver grafici venivano eseguiti nell'ambiente di controllo principale Dom0. Ora le funzioni relative alla grafica possono essere spostate da Dom0 a un ambiente di dominio GUI separato e separate dai componenti di gestione del sistema. Dom0 lascia solo uno speciale processo in background per fornire l'accesso a determinate pagine di memoria. Il supporto del dominio GUI è ancora sperimentale e non abilitato per impostazione predefinita.
- Aggiunto il supporto sperimentale per Audio Domain, un ambiente separato per l'esecuzione di un server audio che consente di separare i componenti per l'elaborazione audio da Dom0.
- Aggiunto il processo in background qrexec-policy e un nuovo sistema di regole per il meccanismo Qrexec RPC, che consente di eseguire comandi nel contesto di ambienti virtuali specificati. Il sistema di regole Qrexec determina chi può fare cosa e dove in Qubes. La nuova versione delle regole presenta un formato più flessibile, un aumento significativo della produttività e un sistema di notifiche che semplifica la diagnosi dei problemi. Aggiunta la possibilità di eseguire i servizi Qrexec come server accessibile tramite un server socket.
- Vengono proposti tre nuovi template per ambienti virtuali basati su Gentoo Linux: minimal, con Xfce e con GNOME.
- È stata implementata una nuova infrastruttura per la manutenzione, l'assemblaggio automatizzato e il test di ulteriori modelli di ambiente virtuale. Oltre a Gentoo, l'infrastruttura fornisce supporto per modelli con test del kernel Arch Linux e Linux.
- Il sistema di build e testing è stato migliorato, è stato aggiunto il supporto per la verifica nel sistema di integrazione continua basato su GitLab CI.
- È stato fatto del lavoro per implementare il supporto per build ripetibili di ambienti basati su Debian, che può essere utilizzato per confermare che i componenti Qubes sono costruiti esattamente dai codici sorgente dichiarati e non contengono modifiche estranee, la cui sostituzione, ad esempio, può essere realizzato attaccando l'infrastruttura dell'assembly o i segnalibri nel compilatore.
- L'implementazione del firewall è stata riscritta.
- Gli ambienti sys-firewall e sys-usb ora funzionano in modalità "usa e getta" per impostazione predefinita, ovvero sono usa e getta e possono essere creati su richiesta.
- Supporto migliorato per schermi ad alta densità di pixel.
- Aggiunto supporto per diverse forme di cursore.
- Notifica implementata sulla mancanza di spazio libero su disco.
- Aggiunto il supporto per la modalità di ripristino del backup paranoico, che utilizza un ambiente virtuale una tantum per il ripristino.
- Il programma di installazione ti consente di scegliere tra Debian e Fedora per i modelli di macchina virtuale.
- Aggiunta una nuova interfaccia grafica per la gestione degli aggiornamenti.
- Aggiunta l'utilità Template Manager per l'installazione, l'eliminazione e l'aggiornamento dei modelli.
- Meccanismo di distribuzione dei modelli migliorato.
- L'ambiente base Dom0 è stato aggiornato al pacchetto base Fedora 32. I modelli per la creazione di ambienti virtuali sono stati aggiornati a Fedora 34, Debian 11 e Whonix 16. Il kernel Linux 5.10 è offerto per impostazione predefinita. L'hypervisor Xen 4.14 e l'ambiente grafico Xfce 4.14 sono stati aggiornati.
Fonte: opennet.ru