Li ser Habré ne pir gotarên ku ji pergala xebitandina Qubes re hatine veqetandin, û yên ku min dîtine pir ji ezmûna karanîna wê rave nakin. Li jêr qutkirinê, ez hêvî dikim ku vê yekê bi mînaka karanîna Qubes wekî navgînek parastinê (li dijî) jîngeha Windows-ê rast bikim û, di heman demê de, hejmara bikarhênerên rûsî-axêv ên pergalê texmîn bikim.
Çima Qubes?
Çîroka dawiya piştevaniya teknîkî ya ji bo Windows 7 û zêdebûna xemgîniya bikarhêneran rê li ber hewcedariya organîzekirina xebata vê OS-ê, bi girtina hewcedariyên jêrîn vekir:
- bi karanîna Windows 7-a bi tevahî aktîfkirî ya ku bikarhêner bikar tîne ku nûvekirin û serîlêdanên cihêreng saz bike (tevî bi navgîniya Înternetê);
- bicîhkirina derxistina tam an bijartî ya danûstendinên torê yên li ser bingeha şert û mercan (xebata xweser û modên fîlterkirina trafîkê);
- kapasîteya girêdana bijartî ya medya û cîhazên jêbirin peyda dike.
Ev komek sînordar bikarhênerek zelal amade dike, ji ber ku rêveberiya serbixwe destûr e, û sînorkirin ne bi astengkirina kiryarên wî yên potansiyel ve girêdayî ne, lê bi dûrxistina xeletiyên gengaz an bandorên nermalava wêranker ve girêdayî ne. Ewan. Di modelê de sûcdarek navxweyî tune.
Di lêgerîna xwe ya ji bo çareseriyê de, me zû dev ji ramana pêkanîna qedexeyan bi karanîna amûrên Windows-ê yên çêkirî an pêvekirî berda, ji ber ku pir dijwar e ku meriv bikarhênerek bi mafên rêveberê bi bandor sînordar bike, û jê re hişt ku kapasîteya sazkirina serlêdanan bike.
Çareseriya din îzolasyon bi karanîna virtualîzasyonê bû. Amûrên naskirî yên ji bo virtualkirina sermaseyê (mînakî, wekî virtualbox) ji bo çareserkirina pirsgirêkên ewlehiyê nebaş in û sînorkirinên navnîşkirî neçar in ku ji hêla bikarhêner ve bi domdarî veguheztin an sererastkirina taybetmendiyên makîneya virtual ya mêvandar (li vir şûnda tê gotin wekî VM), ku xetera xeletiyan zêde dike.
Di heman demê de, ezmûna me hebû ku Qubes wekî pergala sermaseya bikarhêner bikar tîne, lê gumanên me li ser aramiya xebata bi Windows-a mêvan re hebû. Biryar hate dayîn ku guhertoya heyî ya Qubesê were kontrol kirin, ji ber ku tixûbên diyarkirî pir baş di paradîgmaya vê pergalê de cih digirin, nemaze pêkanîna şablonên makîneya virtual û yekbûna dîtbarî. Paşê, ez ê hewl bidim ku bi mînaka çareserkirina pirsgirêkê bi kurtî behsa fikir û amûrên Qubesê bikim.
Cureyên virtualîzasyona Xen
Qubes li ser hîpervisorê Xen-ê ye, ku fonksiyonên birêvebirina çavkaniyên pêvajoyê, bîranîn û makîneyên virtual kêm dike. Hemî karên din ên bi cîhazan re li dom0-ê li ser bingeha kernel Linux-ê têne kom kirin (Qubes ji bo dom0 belavkirina Fedora bikar tîne).
Xen çend celeb virtualbûnê piştgirî dike (ez ê mînakan ji bo mîmariya Intel bidim, her çend Xen yên din piştgirî dike):
- paravirtualîzasyon (PV) - modek virtualîzasyonê bêyî karanîna piştgiriya hardware, ku virtualbûna konteynerê tîne bîra xwe, dikare ji bo pergalên bi kernelek adapteyî were bikar anîn (dom0 di vê modê de dixebite);
- virtualbûna tam (HVM) - di vê modê de, piştgiriya hardware ji bo çavkaniyên pêvajoyê tê bikar anîn, û hemî alavên din bi karanîna QEMU-ê têne nimûne. Ev awayê herî gerdûnî ye ku meriv pergalên xebitandinê yên cihêreng dimeşîne;
- paravirtualîzasyona hardware (PVH - ParaVirtualized Hardware) - modek virtualîzasyonê ku piştgiriya hardware bikar tîne dema ku, ji bo ku bi hardware re bixebite, kernela pergala mêvan ajokarên ku li gorî kapasîteyên hîpervisorê hatine adaptekirin bikar tîne (mînak, bîranîna hevpar), hewcedariya emûlasyona QEMU ji holê radike. û zêdekirina performansa I/O. Kernel Linux ku ji 4.11 dest pê dike dikare di vê modê de bixebite.
Ji Qubes 4.0-ê dest pê dike, ji ber sedemên ewlehiyê, karanîna moda paravirtualîzasyonê tê terikandin (di nav de ji ber qelsiyên naskirî yên di mîmariya Intel-ê de, ku bi karanîna virtualbûna tam bi qismî têne kêm kirin); Moda PVH ji hêla xwerû ve tê bikar anîn.
Dema ku emmulasyonê (moda HVM) bikar tînin, QEMU di VM-ya veqetandî ya bi navê stubdomain de tê destpêkirin, bi vî rengî xetereyên karanîna xeletiyên potansiyel ên di pêkanînê de kêm dike (projeya QEMU gelek kod dihewîne, di nav de ji bo lihevhatinê).
Di rewşa me de, divê ev mod ji bo Windows-ê were bikar anîn.
Xizmeta makîneyên virtual
Di mîmariya ewlehiyê ya Qubesê de, yek ji kapasîteyên sereke yên hypervisor veguheztina cîhazên PCI-yê ji hawîrdora mêvan re ye. Dûrxistina hardware dihêle hûn beşa mêvandar a pergalê ji êrîşên derveyî veqetînin. Xen vê yekê ji bo modên PV û HVM piştgirî dike, di rewşa duyemîn de ew ji bo IOMMU (Intel VT-d) piştgirî hewce dike - rêveberiya bîra hardware ji bo cîhazên virtual.
Ev çend makîneyên virtual yên pergalê diafirîne:
- sys-net, ku amûrên torê jê re têne veguheztin û ku wekî pirek ji bo VM-yên din têne bikar anîn, mînakî, yên ku fonksiyonên dîwarê agir an xerîdarek VPN bicîh dikin;
- sys-usb, ku USB û kontrolkerên din ên cîhaza derdorê têne veguheztin;
- sys-firewall, ku cîhazan bikar nayîne, lê ji bo VM-yên girêdayî wekî dîwarê agir dixebite.
Ji bo xebata bi cîhazên USB re, karûbarên proxy têne bikar anîn, ku di nav tiştên din de peyda dikin:
- ji bo çîna cîhaza HID (cîhaza pêwendiya mirovî), fermanan dişîne dom0;
- ji bo medyaya jêbirin, beralîkirina cildên cîhazê li VM-yên din (ji bilî dom0);
- rasterast beralîkirina amûrek USB (bi karanîna USBIP û amûrên entegrasyonê).
Di veavakirinek wusa de, êrîşek serketî bi navgîniya stûna torê an cîhazên girêdayî dikare bibe sedema lihevhatina tenê karûbarê xebitandinê VM, û ne tevahiya pergalê bi tevahî. Û piştî destpêkirina karûbarê VM-ê, ew ê di rewşa xweya orjînal de were barkirin.
Amûrên entegrasyona VM
Gelek awayên danûstendina bi sermaseya makîneyek virtual re hene - sazkirina serîlêdanan di pergala mêvan de an emûlkirina vîdyoyê bi karanîna amûrên virtualbûnê. Serlêdanên mêvan dikarin cûrbecûr amûrên gihîştina dûr a gerdûnî bin (RDP, VNC, Spice, hwd.) an jî bi hîpervisorek taybetî ve werin adaptekirin (wek amûrên bi gelemperî wekî karûbarên mêvan têne binav kirin). Di heman demê de vebijarkek tevlihev dikare were bikar anîn, dema ku hîpervisor ji bo pergala mêvan I/O emilîne, û ji derve ve şiyana karanîna protokolek ku I/O bi hev re dike, mînakî, mîna Spice peyda dike. Di heman demê de, amûrên gihîştina dûr bi gelemperî wêneyê xweştir dikin, ji ber ku ew bi navgîniya torê ve dixebitin, ku bandorek erênî li ser kalîteya wêneyê nake.
Qubes ji bo yekbûna VM amûrên xwe peyda dike. Berî her tiştî, ev binepergalek grafîkî ye - pencereyên ji VM-yên cihêreng li ser sermaseyek yekane bi çarçoweya rengê xwe ve têne xuyang kirin. Bi gelemperî, amûrên entegrasyonê li ser bingeha kapasîteyên hîpervisor têne çêkirin - bîranîna hevpar (tabloya dayîna Xen), amûrên ragihandinê (kanala bûyera Xen), xenstora hilanîna hevpar û protokola ragihandinê ya vchan. Bi alîkariya wan, hêmanên bingehîn qrexec û qubes-rpc, û karûbarên serîlêdanê têne bicîh kirin - beralîkirina deng an USB, veguheztina pelan an naveroka clipboard, pêkanîna fermanan û destpêkirina serîlêdanan. Mimkun e ku hûn polîtîkayên ku destûrê bidin we karûbarên ku li ser VM-ê peyda dibin sînordar bikin. Nîgara jêrîn mînakek prosedûra destpêkirina pêwendiya du VM-yan e.
Bi vî rengî, xebata di VM-ê de bêyî karanîna torê tête kirin, ku dihêle ku bi tevahî VM-yên xweser bikar bînin da ku ji levkirina agahdarî dûr bisekinin. Mînakî, bi vî rengî veqetandina karûbarên krîptografî (PGP/SSH) tê pêkanîn, dema ku bişkojkên taybet di VM-yên veqetandî de têne bikar anîn û ji wan wêdetir naçin.
Şablon, serîlêdan û VM-yên yek-car
Hemî karên bikarhêner li Qubesê di makîneyên virtual de têne kirin. Pergala mêvandarê sereke ji bo kontrolkirin û dîtina wan tê bikar anîn. OS digel komek bingehîn a makîneyên virtual-based şablon (TemplateVM) tê saz kirin. Ev şablon VM-ya Linux-ê ye ku li ser bingeha belavkirina Fedora an Debian-ê ye, digel amûrên entegrasyonê hatine saz kirin û mîheng kirin, û pergalên veqetandî û dabeşên bikarhêner. Sazkirin û nûvekirina nermalavê ji hêla rêveberek pakêtê ya standard (dnf an apt) ve ji depoyên mîhengkirî yên bi verastkirina îmzeya dîjîtal a mecbûrî (GnuPG) ve tête kirin. Armanca VM-yên weha ew e ku pêbaweriya bi VM-yên serîlêdanê yên ku li ser bingeha wan hatine destpêkirin dabîn bikin.
Di destpêkê de, serîlêdanek VM (AppVM) wêneyek dabeşkirina pergalê ya şablonê VM-ya têkildar bikar tîne, û piştî qedandinê bêyî tomarkirina guhertinan vê wêneyê jêdibe. Daneyên ku ji hêla bikarhêner ve têne xwestin di dabeşek bikarhênerek yekane de ji bo her serîlêdana VM-ê, ku di pelrêça malê de hatî hilanîn, têne hilanîn.
Bikaranîna VM-yên yekcar (disposableVM) dikare ji hêla ewlehiyê ve bikêr be. VMyek wusa di dema destpêkirinê de li ser bingeha şablonek tê afirandin û ji bo yek armancê tê destpêkirin - pêkanîna yek serîlêdanê, qedandina xebatê piştî ku ew girtî ye. VM-yên yekalî dikarin werin bikar anîn da ku pelên gumanbar vekin ku naveroka wan dikare bibe sedema îstismarkirina qelsiyên serîlêdana taybetî. Kapasîteya xebitandina VM-ya yek-carî di rêveberê pelê (Nautilus) û muwekîlê e-nameyê (Thunderbird) de yekgirtî ye.
Windows VM di heman demê de dikare were bikar anîn da ku bi veguheztina profîla bikarhêner berbi beşek cûda ve şablonek û VMyek yekcar biafirîne. Di guhertoya me de, şablonek wusa dê ji hêla bikarhêner ve ji bo karên rêveberiyê û sazkirina serîlêdanê were bikar anîn. Li ser bingeha şablonê, dê gelek VM-yên serîlêdanê werin afirandin - bi gihandina tixûbdar a torê (kapasîteyên standard sys-firewall) û bêyî gihîştina torê bi tevahî (alavek torê ya virtual nayê afirandin). Hemî guheztin û serîlêdanên ku di şablonê de hatine saz kirin dê ji bo xebitandina van VM-an peyda bibin, û her çend bernameyên nîşanker werin danîn jî, ew ê ji bo lihevkirinê ne xwediyê torê nebin.
Ji bo Windows-ê şer bikin
Taybetmendiyên ku li jor hatine destnîşan kirin bingeha Qubes in û bi domdarî dixebitin; Zehmetî bi Windows-ê dest pê dikin. Ji bo entegrekirina Windows-ê, divê hûn komek amûrên mêvan Qubes Amûrên Windows-ê (QWT) bikar bînin, ku tê de ajokarên ji bo xebata bi Xen-ê re, ajokerek qvideo û komek amûran ji bo danûstendina agahdariyê (veguheztina pelan, clipboard) vedihewîne. Pêvajoya sazkirin û vesazkirinê bi hûrgulî li ser malpera projeyê tête belge kirin, ji ber vê yekê em ê ezmûna serîlêdana xwe parve bikin.
Zehmetiya sereke bi bingehîn nebûna piştevaniya amûrên pêşkeftî ye. Pêşdebirên Key (QWT) xuya dike ku ne berdest in û projeya entegrasyona Windows-ê li benda pêşdebirek pêşeng e. Ji ber vê yekê, berî her tiştî, pêdivî bû ku performansa wê were nirxandin û têgihîştinek li ser îmkana piştgirîkirina wê ya serbixwe, heke hewce be, çêbibe. Pêşveçûn û jêbirina herî dijwar ajokera grafîkê ye, ku adapterê vîdyoyê û dîmenderê emilîne da ku wêneyek di bîranîna hevpar de çêbike, ku dihêle hûn tevahî sermaseyê an pencereya serîlêdanê rasterast di pencereya pergala mêvandar de nîşan bidin. Di dema analîzkirina xebata ajokerê de, me koda ji bo kombûnê di hawîrdorek Linux de adapte kir û di navbera du pergalên mêvan ên Windows-ê de nexşeyek debugkirinê çêkir. Di qonaxa crossbuild-ê de, me gelek guhertin çêkir ku tiştan ji me re hêsan kir, nemaze di warê sazkirina "bêdeng" a karûbaran de, û di heman demê de xirabûna acizker a performansê dema ku ji bo demek dirêj di VM de dixebitin ji holê rakir. Me encamên xebatê di beşeke cuda de pêşkêş kir , bi vî awayî ne ji bo dirêj Pêşdebirê Qubes pêşeng.
Qonaxa herî krîtîk di warê aramiya pergala mêvan de destpêkirina Windows-ê ye, li vir hûn dikarin dîmendera şîn a naskirî bibînin (an jî wê nabînin). Ji bo piraniya xeletiyên naskirî, rêgezên cihêreng hebûn - rakirina ajokarên cîhaza bloka Xen, neçalakkirina hevsengiya bîranîna VM, rastkirina mîhengên torê, û kêmkirina hejmara navokan. Amûrên mêvanên me li ser Windows 7 û Windows 10-ê bi tevahî nûvekirî saz dikin û dimeşînin (ji bilî qvideo).
Dema ku ji hawîrdorek rastîn berbi jîngehek virtual ve diçin, heke guhertoyên OEM-ê yên pêş-sazkirî werin bikar anîn pirsgirêkek bi aktîfkirina Windows-ê derdikeve. Pergalên weha li gorî lîsansên ku di UEFI-ya cîhazê de hatine destnîşan kirin çalakkirinê bikar tînin. Ji bo rastkirina çalakkirinê, pêdivî ye ku meriv yek ji hemî beşên ACPI-ya pergala mêvandar (tabloya SLIC) li pergala mêvanan wergerîne û yên din hinekî biguhezîne, hilberîner tomar bike. Xen dihêle hûn naveroka ACPI-ya tabloyên din xweş bikin, lê bêyî guheztina yên sereke. Patchek ji projeyek OpenXT ya wekhev, ku ji bo Qubes-ê hate adaptekirin, di çareseriyê de bû alîkar. Serastkirin ne tenê ji me re kêrhatî xuya bûn û li depoya sereke ya Qubes û pirtûkxaneya Libvirt hatin wergerandin.
Dezawantajên eşkere yên amûrên entegrasyona Windows-ê di nav de nebûna piştgirî ji bo deng, cîhazên USB, û tevliheviya xebata bi medyayê re, ji ber ku ji GPU-ê re piştgiriyek hişk tune. Lê ya jorîn pêşî li karanîna VM-ê ji bo xebata bi belgeyên nivîsgehê re nagire, ne jî pêşî li destpêkirina serîlêdanên pargîdanî yên taybetî digire.
Pêwîstiya guheztina moda xebitandinê bêyî torgilok an bi torgilokek tixûbdar piştî afirandina şablonek Windows VM-ê bi afirandina mîhengên guncav ên serîlêdana VM-yê pêk hat, û îhtîmala girêdana bijartî ya medyaya jêbirin jî ji hêla amûrên standard OS-ê ve hate çareser kirin - dema ku tê girêdan. , ew di pergala VM sys-usb de hene, ji ku derê ew dikarin ji VM-ya pêwîst re "pêşvebirin". Sermaseya bikarhêner bi vî rengî xuya dike.
Guhertoya paşîn a pergalê ji hêla bikarhêneran ve bi erênî hate pejirandin (bi qasî ku çareseriyek wusa berfireh destûr dide) û amûrên standard ên pergalê ev gengaz kir ku serîlêdanê bi gihîştina VPN-ê ve berbi qereqola mobîl a bikarhêner ve berfireh bike.
Şûna encamê
Virtualization bi gelemperî dihêle hûn xetereyên karanîna pergalên Windows-ê yên bêyî piştgirî mayî kêm bikin - ew lihevhatina bi hardware nû re zorê nake, ew dihêle hûn gihandina pergalê li ser torê an bi navgîniya cîhazên girêdayî veqetînin an kontrol bikin, û ew dihêle hûn jîngehek destpêkirina yek-carî bicîh bikin.
Li ser bingeha ramana veqetandinê bi virtualîzasyonê, Qubes OS ji we re dibe alîkar ku hûn van û mekanîzmayên din ên ewlehiyê bikar bînin. Ji derve ve, gelek kes Qubesê di serî de wekî xwestekek nenaskirinê dibînin, lê ew pergalek kêrhatî ye hem ji bo endezyaran, yên ku pir caran proje, binesaz, û nehêniyan dişoxilînin da ku bigihîjin wan, hem jî ji bo lêkolînerên ewlehiyê. Veqetandina sepanan, daneyan û fermîkirina pêwendiya wan gavên destpêkê yên analîza gefan û sêwirana pergala ewlehiyê ne. Ev veqetandin dibe alîkar ku agahdarî ava bike û îhtîmala xeletiyên ji ber faktora mirovî kêm bike - lezbûn, westandin, hwd.
Heya nuha, di pêşkeftinê de giraniya sereke li ser berfirehkirina fonksiyona hawîrdorên Linux-ê ye. Guhertoya 4.1 ji bo serbestberdanê tê amadekirin, ku dê li ser bingeha Fedora 31-ê be û guhertoyên heyî yên hêmanên sereke Xen û Libvirt-ê vedigire. Hêjayî gotinê ye ku Qubes ji hêla pisporên ewlehiya agahdariyan ve hatî çêkirin ku her gav bi lez nûvekirinên ger tehdîd an xeletiyên nû têne nas kirin.
Paşê
Yek ji kapasîteyên ceribandinê yên ku em pêş dixin rê dide me ku em VM-yên bi piştgirîya gihîştina mêvanan a GPU-yê li ser bingeha teknolojiya Intel GVT-g biafirînin, ku destûrê dide me ku em kapasîteyên adapterê grafîkê bikar bînin û bi girîngî qada pergalê berfireh bikin. Di dema nivîsandinê de, ev fonksiyonê ji bo ceribandinên avakirina Qubes 4.1 dixebite, û li ser heye .
Source: www.habr.com