Tsy dia misy lahatsoratra firy momba ny Habré natokana ho an'ny rafitra fiasan'ny Qubes, ary ireo izay hitako dia tsy mamaritra betsaka ny traikefa amin'ny fampiasana azy. Eo ambanin'ny fanapahana, manantena aho fa hanitsy izany amin'ny fampiasana ny ohatra amin'ny fampiasana Qubes ho fitaovam-piarovana (manohitra) ny tontolo iainana Windows ary, miaraka amin'izay koa, manombana ny isan'ny mpampiasa miteny Rosiana an'ilay rafitra.
Nahoana no Qubes?
Ny tantaran'ny fiafaran'ny fanohanana ara-teknika ho an'ny Windows 7 sy ny fitomboan'ny fitaintainan'ny mpampiasa dia nahatonga ny filàna handaminana ny asan'ity OS ity, amin'ny fiheverana ireto fepetra manaraka ireto:
- miantoka ny fampiasana tanteraka Windows 7 miaraka amin'ny fahafahan'ny mpampiasa mametraka fanavaozana sy fampiharana isan-karazany (anisan'izany ny Internet);
- manatanteraka fanilihana tanteraka na voafantina ny fifaneraserana amin'ny tambajotra mifototra amin'ny fepetra (fampandehanana tsy miankina sy fomba fanivanana ny fifamoivoizana);
- manome ny fahafahana mifandray amin'ny haino aman-jery azo esorina sy fitaovana.
Ity andiana fameperana ity dia maminavina ny mpampiasa efa vonona tsara, satria avela ny fitantanana mahaleo tena, ary ny fameperana dia tsy mifandray amin'ny fanakanana ny mety ho hetsika ataony, fa amin'ny fanilihana ny mety ho lesoka na ny voka-dratsin'ny rindrambaiko manimba. Ireo. Tsy misy mpandika lalàna anatiny ao amin'ny modely.
Tamin'ny fitadiavanay vahaolana dia nandao haingana ny hevitra momba ny fampiharana ny fameperana amin'ny fampiasana fitaovana Windows naorina na fanampiny, satria sarotra ny mametra amin'ny fomba mahomby ny mpampiasa manana zon'ny mpitantana, ka mamela azy hametraka fampiharana.
Ny vahaolana manaraka dia ny fitokana-monina amin'ny fampiasana virtoaly. Ny fitaovana fanta-daza ho an'ny virtoaly desktop (ohatra, toy ny virtualbox) dia tsy mety amin'ny famahana ny olan'ny fiarovana ary ny fameperana voatanisa dia tsy maintsy ataon'ny mpampiasa amin'ny alàlan'ny famadihana na fanitsiana tsy tapaka ny fananan'ny milina virtoaly vahiny. toy ny VM), izay mampitombo ny mety hisian'ny fahadisoana.
Nandritra izany fotoana izany, nanana traikefa tamin'ny fampiasana Qubes ho rafitra biraon'ny mpampiasa izahay, saingy nanana ahiahy momba ny fahamarinan'ny fiaraha-miasa amin'ny Windows vahiny. Tapa-kevitra ny hanamarina ny dikan-teny Qubes amin'izao fotoana izao, satria mifanaraka tsara amin'ny paradigma an'ity rafitra ity ny fetra voalaza, indrindra ny fampiharana ny maodely milina virtoaly sy ny fampidirana hita maso. Manaraka, hiezaka hiresaka fohifohy momba ny hevitra sy ny fitaovan'i Qubes aho, amin'ny fampiasana ny ohatra momba ny famahana ny olana.
Karazana virtoaly Xen
Qubes dia miorina amin'ny Xen hypervisor, izay manamaivana ny asan'ny fitantanana ny loharanon'ny processeur, ny fitadidiana ary ny milina virtoaly. Ny asa hafa rehetra miaraka amin'ny fitaovana dia mifantoka amin'ny dom0 mifototra amin'ny kernel Linux (Qubes for dom0 dia mampiasa ny fizarana Fedora).
Xen dia manohana karazana virtoaly maromaro (hanome ohatra ho an'ny maritrano Intel aho, na dia manohana ny hafa aza i Xen):
- paravirtualization (PV) - fomba virtoaly tsy misy fampiasana fitaovana fanohanana, mampahatsiahy ny virtoaly container, dia azo ampiasaina amin'ny rafitra misy kernel namboarina (dom0 miasa amin'ity fomba ity);
- virtoaly feno (HVM) - amin'ity fomba ity, ny fanohanan'ny hardware dia ampiasaina amin'ny loharanon'ny processeur, ary ny fitaovana hafa rehetra dia alaina amin'ny QEMU. Ity no fomba mahazatra indrindra amin'ny fampandehanana rafitra fiasa isan-karazany;
- paravirtualization ny hardware (PVH - ParaVirtualized Hardware) - fomba virtoaly mampiasa fanohanana hardware rehefa miasa miaraka amin'ny hardware, ny kernel rafitra vahiny dia mampiasa mpamily mifanaraka amin'ny fahaiza-manaon'ny hypervisor (ohatra, fahatsiarovana iombonana), manafoana ny filàna QEMU emulation. ary mampitombo ny fahombiazan'ny I/O. Ny kernel Linux manomboka amin'ny 4.11 dia afaka miasa amin'ity fomba ity.
Manomboka amin'ny Qubes 4.0, noho ny antony fiarovana, dia ajanona ny fampiasana ny fomba paravirtualization (anisan'izany ny vulnerabilities fantatra amin'ny maritrano Intel, izay ahena amin'ny ampahany amin'ny fampiasana virtoaly feno); Ny maody PVH dia ampiasaina amin'ny alàlan'ny default.
Rehefa mampiasa emulation (mode HVM), ny QEMU dia atomboka amin'ny VM mitoka-monina antsoina hoe stubdomain, ka mampihena ny loza mety hitranga amin'ny fanararaotana ny mety ho lesoka amin'ny fampiharana (ny tetikasa QEMU dia misy kaody maro, anisan'izany ny fifanarahana).
Amin'ity tranga ity, ity fomba ity dia tokony ampiasaina amin'ny Windows.
Manompoa milina virtoaly
Ao amin'ny rafitra fiarovana Qubes, ny iray amin'ireo fahaiza-manaon'ny hypervisor dia ny famindrana fitaovana PCI amin'ny tontolo vahiny. Ny fanilihana ny fitaovana dia ahafahanao manasaraka ny ampahany amin'ny rafitra amin'ny fanafihana ivelany. Xen dia manohana izany ho an'ny maody PV sy HVM, amin'ny tranga faharoa dia mila fanohanana IOMMU (Intel VT-d) - fitantanana fitadidiana fitaovana ho an'ny fitaovana virtoaly.
Izany dia mamorona milina virtoaly rafitra maromaro:
- sys-net, izay afindran'ny fitaovana tambajotra ary ampiasaina ho tetezana ho an'ny VM hafa, ohatra, ireo izay mampihatra ny asan'ny firewall na mpanjifa VPN;
- sys-usb, izay afindran'ny USB sy ny fitaovana periferika hafa;
- sys-firewall, izay tsy mampiasa fitaovana, fa miasa toy ny firewall ho an'ny VM mifandray.
Mba hiasa amin'ny fitaovana USB dia ampiasaina ny serivisy proxy, izay manome, ankoatra ny zavatra hafa:
- ho an'ny kilasy fitaovana HID (fitaovan'ny fifandraisan'ny olombelona), mandefa baiko amin'ny dom0;
- ho an'ny haino aman-jery azo esorina, famerenana ny habetsaky ny fitaovana mankany amin'ny VM hafa (afa-tsy ny dom0);
- mamindra mivantana amin'ny fitaovana USB (mampiasa USBIP sy fitaovana fampidirana).
Amin'ny fanamafisana toy izany, ny fanafihana mahomby amin'ny alàlan'ny tamba-jotra na fitaovana mifandray dia mety hitarika amin'ny marimaritra iraisana amin'ny serivisy mandeha VM ihany, fa tsy ny rafitra manontolo. Ary aorian'ny fanombohana ny serivisy VM dia ho entina ao amin'ny toerany tany am-boalohany.
Fitaovana fampidirana VM
Misy fomba maro hifaneraserana amin'ny biraon'ny milina virtoaly - fametrahana rindranasa ao amin'ny rafitra vahiny na maka sary amin'ny alàlan'ny fitaovana virtoaly. Ny fampiharana vahiny dia mety ho fitaovana fidirana lavitra eran-tany isan-karazany (RDP, VNC, Spice, sns.) Azo ampiasaina ihany koa ny safidy mifangaro, rehefa maka tahaka ny I/O ho an'ny rafitra vahiny ny hypervisor, ary ny ivelany dia manome fahafahana mampiasa protocole izay manambatra ny I/O, ohatra, toy ny Spice. Amin'izay fotoana izay ihany koa, matetika ny fitaovana fidirana lavitra dia manatsara ny sary, satria tafiditra ao anatin'izany ny fiasan'ny tambajotra, izay tsy misy fiantraikany tsara amin'ny kalitaon'ny sary.
Qubes dia manome ny fitaovany manokana ho an'ny fampidirana VM. Voalohany indrindra, subsystem sary ity - windows avy amin'ny VM samihafa dia aseho amin'ny birao tokana miaraka amin'ny lokony manokana. Amin'ny ankapobeny, ny fitaovana fampidirana dia mifototra amin'ny fahaiza-manaon'ny hypervisor - fahatsiarovana iombonana (tabilao fanomezana Xen), fitaovana fampandrenesana (fantsona hetsika Xen), xenstore fitehirizana ifampizarana ary ny protocol fifandraisana vchan. Miaraka amin'ny fanampian'izy ireo, ny singa fototra qrexec sy qubes-rpc, ary ny serivisy fampiharana dia ampiharina - famerenam-peo na USB, famindrana rakitra na votoatin'ny clipboard, fanatanterahana baiko ary fandefasana fampiharana. Azo atao ny mametraka politika ahafahanao mametra ny serivisy misy amin'ny VM. Ity sary etsy ambany ity dia ohatra iray amin'ny fomba fanombohana ny fifandraisana amin'ny VM roa.
Noho izany, ny asa ao amin'ny VM dia atao tsy mampiasa tambajotra, izay mamela ny fampiasana feno ny VM tsy miankina mba hialana amin'ny leakage vaovao. Ohatra, toy izao ny fampiharana ny fisarahana amin'ny asa kriptografika (PGP/SSH), rehefa ampiasaina amin'ny VM mitokana ny fanalahidy manokana ary tsy mihoatra azy ireo.
Modely, fampiharana ary VM indray mandeha
Ny asan'ny mpampiasa rehetra ao Qubes dia vita amin'ny milina virtoaly. Ny rafitra mpampiantrano lehibe dia ampiasaina hifehezana sy hijerena azy ireo. Ny OS dia napetraka miaraka amin'ny milina virtoaly mifototra amin'ny template (TemplateVM). Ity môdely ity dia Linux VM mifototra amin'ny fizarana Fedora na Debian, miaraka amin'ny fitaovana fampidirana napetraka sy namboarina, ary rafitra manokana sy fizarazarana mpampiasa. Ny fametrahana sy ny fanavaozana ny rindrambaiko dia ataon'ny mpitantana fonosana mahazatra (dnf na apt) avy amin'ny tahiry voarindra miaraka amin'ny fanamarinana sonia nomerika (GnuPG). Ny tanjon'ireo VM ireo dia ny hiantohana ny fahatokisana ireo VM fampiharana natomboka tamin'ny fotony.
Amin'ny fanombohana, ny fampiharana VM (AppVM) dia mampiasa sarin'ny fizarazarana rafitra amin'ny môdely VM mifanaraka amin'izany, ary rehefa vita dia mamafa ity sary ity nefa tsy mitahiry fiovana. Ny angon-drakitra takian'ny mpampiasa dia voatahiry ao anaty fizarazarana mpampiasa tokana ho an'ny fampiharana VM tsirairay, izay napetraka ao amin'ny lahatahiry an-trano.
Ny fampiasana VM azo ampiasaina (disposableVM) dia mety ilaina amin'ny lafiny fiarovana. Ny VM toy izany dia noforonina mifototra amin'ny môdely amin'ny fotoana fanombohana ary natomboka ho an'ny tanjona iray - hanatanteraka fampiharana iray, hamita ny asa rehefa mikatona. Ny VM azo ampiasaina dia azo ampiasaina hanokafana rakitra mampiahiahy izay mety hitarika ho amin'ny fanararaotana ny vulnerability manokana amin'ny fampiharana ny atiny. Ny fahaizana mitantana VM indray mandeha dia tafiditra ao amin'ny mpitantana ny rakitra (Nautilus) sy ny mpanjifa mailaka (Thunderbird).
Ny Windows VM koa dia azo ampiasaina hamoronana môdely sy VM indray mandeha amin'ny alàlan'ny famindrana ny mombamomba ny mpampiasa amin'ny fizarana misaraka. Amin'ny dikan-tsika, ny môdely toy izany dia hampiasain'ny mpampiasa amin'ny asa fitantanana sy fametrahana fampiharana. Miorina amin'ny môdely, hisy fampiharana VM maromaro hoforonina - miaraka amin'ny fidirana voafetra amin'ny tambajotra (fahaizana sys-firewall manara-penitra) ary tsy misy fidirana amin'ny tambajotra mihitsy (tsy misy fitaovana tambajotra virtoaly). Ny fanovana rehetra sy ny fampiharana napetraka ao amin'ny môdely dia ho azo ampiasaina amin'ireo VM ireo, ary na dia apetraka aza ny programa tsoratadidy, dia tsy hanana fidirana amin'ny tambajotra izy ireo amin'ny marimaritra iraisana.
Miady ho an'ny Windows
Ireo endri-javatra voalaza etsy ambony dia fototry ny Qubes ary miasa tsara; manomboka amin'ny Windows ny fahasahiranana. Mba hampidirana ny Windows dia tsy maintsy mampiasa andiana fitaovana vahiny Qubes Windows Tools (QWT) ianao, izay ahitana mpamily miasa amin'ny Xen, mpamily qvideo ary fitaovana iray ho an'ny fifanakalozana vaovao (famindrana rakitra, clipboard). Ny fizotry ny fametrahana sy ny fandrindrana dia voarakitra an-tsipiriany ao amin'ny tranokalan'ny tetikasa, noho izany dia hizara ny traikefanay amin'ny fampiharana izahay.
Ny tena sarotra dia ny tsy fahampian'ny fanohanana ireo fitaovana novolavolaina. Toa tsy misy ny Key Developers (QWT) ary miandry mpamorona mpitarika ny tetikasa fampidirana Windows. Noho izany, voalohany indrindra, nilaina ny fanombanana ny zava-bitany ary namolavola ny fahatakarana ny fahafahana manohana azy tsy miankina, raha ilaina. Ny sarotra indrindra amin'ny fampivoarana sy ny debug dia ny mpamily grafika, izay maka tahaka ny adaptatera video sy fampisehoana mba hamoronana sary amin'ny fitadidiana iombonana, ahafahanao mampiseho ny birao manontolo na ny varavarankely fampiharana mivantana ao amin'ny varavarankelin'ny rafitra mpampiantrano. Nandritra ny famakafakana ny fiasan'ny mpamily, dia nampifanaraka ny kaody ho an'ny fivoriambe ao amin'ny tontolo Linux izahay ary nanamboatra rafitra debugging teo amin'ny rafitra vahiny roa Windows. Tamin'ny dingana crossbuild dia nanao fanovana maro izahay izay nanatsotra zavatra ho anay, indrindra amin'ny fametrahana ny fitaovana "mangina", ary nanafoana ihany koa ny fahasimbana manelingelina ny fampisehoana rehefa miasa amin'ny VM mandritra ny fotoana maharitra. Nasehonay an-kalalahana ny vokatry ny asanay , ka tsy ho ela Lead Qubes Developer.
Ny dingana manan-danja indrindra amin'ny resaka fahamarinan'ny rafitra vahiny dia ny fanombohana ny Windows, eto ianao dia afaka mahita ny efijery manga mahazatra (na tsy mahita azy akory). Ho an'ny ankamaroan'ny lesoka fantatra dia nisy fomba fiasa isan-karazany - manafoana ny mpamily fitaovana sakana Xen, manafoana ny fifandanjana fahatsiarovana VM, manamboatra ny fikandrana tambajotra ary manamaivana ny isan'ny cores. Ny fitaovana vahiny dia manamboatra sy mandeha amin'ny fanavaozana tanteraka Windows 7 ary Windows 10 (afa-tsy qvideo).
Rehefa miala amin'ny tontolo tena izy mankany amin'ny virtoaly, dia misy olana mitranga amin'ny fampahavitrihana Windows raha toa ka ampiasaina ny dikan-teny OEM efa napetraka. Ny rafitra toy izany dia mampiasa fampahavitrihana mifototra amin'ny fahazoan-dàlana voafaritra ao amin'ny UEFI an'ny fitaovana. Mba hikarakarana tsara ny fampahavitrihana dia ilaina ny mandika ny iray amin'ireo fizarana ACPI manontolo amin'ny rafitra mpampiantrano (tabilao SLIC) mankany amin'ny rafitra vahiny ary manitsy kely ny hafa, manoratra ny mpanamboatra. Xen dia ahafahanao manamboatra ny atiny ACPI amin'ny latabatra fanampiny, fa tsy manova ny lehibe. Nisy patch avy amin'ny tetikasa OpenXT mitovy amin'izany, izay namboarina ho an'ny Qubes, nanampy tamin'ny vahaolana. Toa mahasoa tsy ho anay ihany ireo fanamboarana ireo ary nadika tao amin'ny tahiry Qubes lehibe sy ny tranomboky Libvirt.
Ny fatiantoka miharihary amin'ny fitaovana fampidirana Windows dia ny tsy fahampian'ny fanohanana ny feo, ny fitaovana USB, ary ny fahasarotan'ny fiaraha-miasa amin'ny haino aman-jery, satria tsy misy fanohanana fitaovana ho an'ny GPU. Saingy ireo voalaza etsy ambony ireo dia tsy manakana ny fampiasana ny VM amin'ny fiasana amin'ny antontan-taratasin'ny birao, ary tsy manakana ny fandefasana fampiharana manokana ho an'ny orinasa.
Ny fepetra takiana hifindra amin'ny fomba fiasa tsy misy tambajotra na amin'ny tambajotra voafetra aorian'ny famoronana môdely Windows VM dia tanteraka tamin'ny famoronana ireo rindrankajy mifanaraka amin'ny fampiharana VMs, ary ny fahafahan'ny fampifandraisana mifantina ny media azo esorina dia voavaha ihany koa amin'ny fitaovana OS mahazatra - rehefa mifandray. , dia hita ao amin'ny rafitra VM sys-usb izy ireo, avy amin'ny toerana azo "ampitaina" amin'ny VM ilaina. Ny biraon'ny mpampiasa dia toa tahaka izao.
Ny dikan-teny farany amin'ny rafitra dia tsara (araka izay ahafahan'ny vahaolana feno toy izany) eken'ny mpampiasa, ary ny fitaovana manara-penitra an'ny rafitra dia nahafahana nanitatra ny fampiharana amin'ny toeram-piasana finday an'ny mpampiasa miaraka amin'ny fidirana amin'ny VPN.
Raha tokony ny famaranana
Ny virtoaly amin'ny ankapobeny dia ahafahanao mampihena ny risika amin'ny fampiasana rafitra Windows tsy misy fanohanana - tsy manery ny fifanarahana amin'ny fitaovana vaovao, mamela anao hanilika na hifehy ny fidirana amin'ny rafitra amin'ny tambajotra na amin'ny fitaovana mifandray, ary mamela anao manatanteraka tontolo fandefasana indray mandeha.
Miorina amin'ny hevitra momba ny fitokana-monina amin'ny alàlan'ny virtoaly, Qubes OS dia manampy anao amin'ny fampiasana ireo mekanika ireo sy ny fiarovana hafa. Avy any ivelany, maro ny olona no mahita an'i Qubes voalohany indrindra ho faniriana tsy mitonona anarana, saingy rafitra mahasoa na ho an'ny injeniera, izay matetika manao jumble tetikasa, fotodrafitrasa ary tsiambaratelo mba hidirana amin'izy ireo, ary ho an'ny mpikaroka momba ny fiarovana. Ny fanasarahana ny rindranasa, ny angon-drakitra ary ny fomba ofisialy ny fifandraisan'izy ireo no dingana voalohany amin'ny famakafakana ny fandrahonana sy ny famolavolana rafitra fiarovana. Ity fisarahana ity dia manampy amin'ny fandrafetana ny vaovao ary mampihena ny mety hisian'ny fahadisoana noho ny antony maha-olombelona - haingana, havizanana, sns.
Amin'izao fotoana izao, ny tena zava-dehibe amin'ny fampandrosoana dia ny fanitarana ny fiasan'ny tontolo Linux. Ny version 4.1 dia voaomana ho famotsorana, izay hiorina amin'ny Fedora 31 ary ahitana ny dikan-teny amin'izao fotoana izao amin'ny singa fototra Xen sy Libvirt. Tsara ny manamarika fa ny Qubes dia noforonin'ny manam-pahaizana momba ny fiarovana ny fampahalalam-baovao izay mamoaka avy hatrany ny fanavaozana raha misy fandrahonana na fahadisoana vaovao hita.
afterword
Ny iray amin'ireo fahaiza-manao andrana velarinay dia ahafahantsika mamorona VM miaraka amin'ny fanohanana ny fidirana amin'ny vahiny amin'ny GPU mifototra amin'ny teknolojia Intel GVT-g, izay ahafahantsika mampiasa ny fahaiza-manaon'ny adaptatera grafika ary manitatra be ny sehatry ny rafitra. Amin'ny fotoana anoratana, ity fampiasa ity dia miasa amin'ny fanamboarana andrana ny Qubes 4.1, ary azo alaina amin'ny .
Source: www.habr.com