После почти четырёх лет разработки состоялся релиз операционной системы Qubes 4.1, реализующей идею использования гипервизора для строгой изоляции приложений и компонентов ОС (каждый класс приложений и системные сервисы работают в отдельных виртуальных машинах). Для работы необходима система с 6 Гб ОЗУ и 64-разрядным CPU Intel или AMD с поддержкой технологий VT-x c EPT/AMD-v c RVI и VT-d/AMD IOMMU, желательно наличие GPU Intel (GPU NVIDIA и AMD недостаточно хорошо протестированы). Размер установочного образа — 6 ГБ.
Qubes의 애플리케이션은 처리 중인 데이터의 중요성과 해결 중인 작업에 따라 클래스로 나뉩니다. 각 애플리케이션 클래스(예: 업무, 엔터테인먼트, 뱅킹)와 시스템 서비스(네트워크 하위 시스템, 방화벽, 스토리지, USB 스택 등)는 Xen 하이퍼바이저를 사용하여 실행되는 별도의 가상 머신에서 실행됩니다. 동시에 이러한 응용 프로그램은 동일한 데스크탑 내에서 사용할 수 있으며 창 프레임의 다른 색상으로 명확성을 구분합니다. 각 환경은 기본 루트 FS 및 다른 환경의 스토리지와 겹치지 않는 로컬 스토리지에 대한 읽기 액세스 권한을 가지며 애플리케이션 상호 작용을 구성하는 데 특수 서비스가 사용됩니다.
Fedora 및 Debian 패키지 기반은 가상 환경 형성의 기반으로 사용할 수 있으며 Ubuntu, Gentoo 및 Arch Linux용 템플릿도 커뮤니티에서 지원됩니다. Windows 가상 머신에서 애플리케이션에 대한 액세스를 구성하고 Tor를 통해 익명 액세스를 제공하는 Whonix 기반 가상 머신을 생성할 수 있습니다. 사용자 셸은 Xfce를 기반으로 합니다. 사용자가 메뉴에서 애플리케이션을 시작하면 해당 애플리케이션이 특정 가상 머신에서 시작됩니다. 가상 환경의 내용은 일련의 템플릿으로 정의됩니다.
주요 변경 사항 :
- Реализована возможность применения отдельного окружения GUI Domain с компонентами для обеспечения работы графического интерфейса. Ранее в виртуальных окружениях для каждого класса приложений запускался отдельный X-сервер, упрощённый оконный менеджер и видеодрайвер-заглушка, транслирующий вывод в управляющее окружение в композитном режиме, но компоненты графического стека, оконный менеджер основного рабочего стола, средства управления экраном и графические драйверы выполнялись в основном управляющем окружении Dom0. Теперь функции, связанные с графикой можно вынести из Dom0 в отдельное окружение GUI Domain и отделить их от компонентов управления системой. В Dom0 оставлен только специальный фоновый процесс для предоставления доступа к определённым страницам памяти. Поддержка GUI Domain пока является экспериментальной и не включена по умолчанию.
- Добавлена экспериментальная поддержка Audio Domain, отдельного окружения для выполнения звукового сервера, позволяющего выделить компоненты для обработки звука из Dom0.
- Добавлен фоновый процесс qrexec-policy и новая система правил для RPC-механизма Qrexec, который позволяет выполнять команды в контексте заданных виртуальных окружений. Система правил Qrexec определяет кто, что и где может делать в Qubes. Новый вариант правил отличается более гибким форматом, значительным увеличением производительности и системой уведомлений, упрощающей диагностику проблем. Добавлена возможность выполнения сервисов Qrexec в виде сервера, доступного через сокет (socket server).
- Предложены три новых шаблона виртуальных окружений на основе Gentoo Linux — минимальный, с Xfce и c GNOME.
- Реализована новая инфраструктура для сопровождения, автоматизированной сборки и тестирования дополнительных шаблонов виртуальных окружений. Помимо Gentoo в инфраструктуре обеспечена поддержка шаблонов с Arch Linux и тестирования ядра Linux.
- Улучшена система сборки и тестирования, добавлена поддержка проверки в системе непрерывной интеграции на базе GitLab CI.
- Проведена работа по реализации поддержки повторяемых сборок окружений на базе Debian, которые можно использовать для подтверждения, что компоненты Qubes собраны именно из заявленных исходных текстов и не содержит посторонних изменений, подстановка которых, например, может быть совершена путём атаки на сборочную инфраструктуру или закладки в компиляторе.
- Переписана реализация межсетевого экрана.
- Окружения sys-firewall и sys-usb по умолчанию теперь запускаются в режиме «disposable», т.е. являются одноразовыми и могут создаваться по требованию.
- Улучшена поддержка экранов с высокой плотностью пикселей.
- Добавлена поддержка разных форм курсора.
- Реализован вывод уведомления о нехватке свободного пространства на диске.
- Добавлена поддержка параноидального режима восстановления резервной копии, в котором для восстановления используется одноразовое виртуальное окружение.
- В инсталляторе предоставлена возможность выбора между Debian и Fedora для шаблонов виртуальных машин.
- Добавлен новый графический интерфейс для управления обновлениями.
- Добавлена утилита Template Manager для установки, удаления и обновления шаблонов.
- Улучшен механизм распространения шаблонов.
- Базовое окружение Dom0 обновлено до пакетной базы Fedora 32. Шаблоны для формирования виртуальных окружений обновлены до Fedora 34, Debian 11 и Whonix 16. По умолчанию предложено ядро Linux 5.10. Обновлены гипервизор Xen 4.14 и графическое окружение Xfce 4.14.
출처 : opennet.ru