После почти четырёх лет разработки состоялся релиз операционной системы Qubes 4.1, реализующей идею использования гипервизора для строгой изоляции приложений и компонентов ОС (каждый класс приложений и системные сервисы работают в отдельных виртуальных машинах). Для работы необходима система с 6 Гб ОЗУ и 64-разрядным CPU Intel или AMD с поддержкой технологий VT-x c EPT/AMD-v c RVI и VT-d/AMD IOMMU, желательно наличие GPU Intel (GPU NVIDIA и AMD недостаточно хорошо протестированы). Размер установочного образа — 6 ГБ.
ຄໍາຮ້ອງສະຫມັກໃນ Qubes ໄດ້ຖືກແບ່ງອອກເປັນຫ້ອງຮຽນໂດຍອີງຕາມຄວາມສໍາຄັນຂອງຂໍ້ມູນທີ່ຖືກປະມວນຜົນແລະວຽກງານທີ່ຖືກແກ້ໄຂ. ແຕ່ລະຫ້ອງຮຽນຂອງຄໍາຮ້ອງສະຫມັກ (ຕົວຢ່າງ, ການເຮັດວຽກ, ການບັນເທີງ, ທະນາຄານ), ເຊັ່ນດຽວກັນກັບການບໍລິການລະບົບ (ລະບົບຍ່ອຍເຄືອຂ່າຍ, firewall, ການເກັບຮັກສາ, stack USB, ແລະອື່ນໆ), ດໍາເນີນການໃນເຄື່ອງ virtual ແຍກຕ່າງຫາກທີ່ແລ່ນໂດຍໃຊ້ Xen hypervisor . ໃນເວລາດຽວກັນ, ຄໍາຮ້ອງສະຫມັກເຫຼົ່ານີ້ມີຢູ່ໃນ desktop ດຽວກັນແລະຖືກເນັ້ນໃຫ້ເຫັນຄວາມຊັດເຈນດ້ວຍສີກອບປ່ອງຢ້ຽມທີ່ແຕກຕ່າງກັນ. ແຕ່ລະສະພາບແວດລ້ອມໄດ້ອ່ານການເຂົ້າເຖິງລະບົບໄຟລ໌ຮາກທີ່ຕິດພັນແລະການເກັບຮັກສາທ້ອງຖິ່ນ, ທີ່ບໍ່ຊ້ໍາກັນກັບການເກັບຮັກສາສະພາບແວດລ້ອມອື່ນໆ; ບໍລິການພິເສດແມ່ນໃຊ້ເພື່ອຈັດການໂຕ້ຕອບຂອງແອັບພລິເຄຊັນ.
ພື້ນຖານຊຸດ Fedora ແລະ Debian ສາມາດຖືກນໍາໃຊ້ເປັນພື້ນຖານໃນການສ້າງສະພາບແວດລ້ອມ virtual; ແມ່ແບບສໍາລັບ Ubuntu, Gentoo ແລະ Arch Linux ຍັງໄດ້ຮັບການສະຫນັບສະຫນູນຈາກຊຸມຊົນ. ມັນເປັນໄປໄດ້ທີ່ຈະຈັດລະບຽບການເຂົ້າເຖິງແອັບພລິເຄຊັນໃນເຄື່ອງ virtual Windows, ເຊັ່ນດຽວກັນກັບການສ້າງເຄື່ອງ virtual ທີ່ອີງໃສ່ Whonix ເພື່ອສະຫນອງການເຂົ້າເຖິງທີ່ບໍ່ເປີດເຜີຍຊື່ຜ່ານ Tor. ແກະຜູ້ໃຊ້ແມ່ນສ້າງຂຶ້ນຢູ່ເທິງສຸດຂອງ Xfce. ເມື່ອຜູ້ໃຊ້ເປີດແອັບພລິເຄຊັນຈາກເມນູ, ແອັບພລິເຄຊັນເລີ່ມຕົ້ນໃນເຄື່ອງ virtual ສະເພາະ. ເນື້ອໃນຂອງສະພາບແວດລ້ອມ virtual ຖືກກໍານົດໂດຍຊຸດຂອງແມ່ແບບ.
ການປ່ຽນແປງຕົ້ນຕໍ:
- Реализована возможность применения отдельного окружения GUI Domain с компонентами для обеспечения работы графического интерфейса. Ранее в виртуальных окружениях для каждого класса приложений запускался отдельный X-сервер, упрощённый оконный менеджер и видеодрайвер-заглушка, транслирующий вывод в управляющее окружение в композитном режиме, но компоненты графического стека, оконный менеджер основного рабочего стола, средства управления экраном и графические драйверы выполнялись в основном управляющем окружении Dom0. Теперь функции, связанные с графикой можно вынести из Dom0 в отдельное окружение GUI Domain и отделить их от компонентов управления системой. В Dom0 оставлен только специальный фоновый процесс для предоставления доступа к определённым страницам памяти. Поддержка GUI Domain пока является экспериментальной и не включена по умолчанию.
- Добавлена экспериментальная поддержка Audio Domain, отдельного окружения для выполнения звукового сервера, позволяющего выделить компоненты для обработки звука из Dom0.
- Добавлен фоновый процесс qrexec-policy и новая система правил для RPC-механизма Qrexec, который позволяет выполнять команды в контексте заданных виртуальных окружений. Система правил Qrexec определяет кто, что и где может делать в Qubes. Новый вариант правил отличается более гибким форматом, значительным увеличением производительности и системой уведомлений, упрощающей диагностику проблем. Добавлена возможность выполнения сервисов Qrexec в виде сервера, доступного через сокет (socket server).
- Предложены три новых шаблона виртуальных окружений на основе Gentoo Linux — минимальный, с Xfce и c GNOME.
- Реализована новая инфраструктура для сопровождения, автоматизированной сборки и тестирования дополнительных шаблонов виртуальных окружений. Помимо Gentoo в инфраструктуре обеспечена поддержка шаблонов с Arch Linux и тестирования ядра Linux.
- Улучшена система сборки и тестирования, добавлена поддержка проверки в системе непрерывной интеграции на базе GitLab CI.
- Проведена работа по реализации поддержки повторяемых сборок окружений на базе Debian, которые можно использовать для подтверждения, что компоненты Qubes собраны именно из заявленных исходных текстов и не содержит посторонних изменений, подстановка которых, например, может быть совершена путём атаки на сборочную инфраструктуру или закладки в компиляторе.
- Переписана реализация межсетевого экрана.
- Окружения sys-firewall и sys-usb по умолчанию теперь запускаются в режиме «disposable», т.е. являются одноразовыми и могут создаваться по требованию.
- Улучшена поддержка экранов с высокой плотностью пикселей.
- Добавлена поддержка разных форм курсора.
- Реализован вывод уведомления о нехватке свободного пространства на диске.
- Добавлена поддержка параноидального режима восстановления резервной копии, в котором для восстановления используется одноразовое виртуальное окружение.
- В инсталляторе предоставлена возможность выбора между Debian и Fedora для шаблонов виртуальных машин.
- Добавлен новый графический интерфейс для управления обновлениями.
- Добавлена утилита Template Manager для установки, удаления и обновления шаблонов.
- Улучшен механизм распространения шаблонов.
- Базовое окружение Dom0 обновлено до пакетной базы Fedora 32. Шаблоны для формирования виртуальных окружений обновлены до Fedora 34, Debian 11 и Whonix 16. По умолчанию предложено ядро Linux 5.10. Обновлены гипервизор Xen 4.14 и графическое окружение Xfce 4.14.
ແຫຼ່ງຂໍ້ມູນ: opennet.ru