🥇 QubesOS ကို အသုံးပြု၍ အလုပ်လုပ်ခြင်း Windows 7

Habr အကြောင်း Qubes operating system အကြောင်း ဆောင်းပါးတွေ သိပ်မရေးထားပါဘူး၊ ကျွန်တော်တွေ့ဖူးတဲ့ ဆောင်းပါးတွေကလည်း user experience အကြောင်း သိပ်မဖော်ပြထားပါဘူး။ အောက်က ဆောင်းပါးမှာ Qubes ကို security tool အနေနဲ့ အသုံးပြုခြင်းရဲ့ ဥပမာတစ်ခုနဲ့ ဒါကို ဖြေရှင်းနိုင်မယ်လို့ မျှော်လင့်ပါတယ်။ Windows ထို့အပြင် တစ်ချိန်တည်းမှာပင် စနစ်ကို ရုရှားစကားပြောအသုံးပြုသူအရေအတွက်ကို ခန့်မှန်းပါ။

အဘယ်ကြောင့် Qubes

နည်းပညာပံ့ပိုးမှု အဆုံးသတ်သွားခြင်း၏ ဇာတ်လမ်း Windows ၇ နှင့် အသုံးပြုသူများ၏ စိုးရိမ်ပူပန်မှုများ တိုးပွားလာခြင်းကြောင့် အောက်ပါလိုအပ်ချက်များကို ထည့်သွင်းစဉ်းစား၍ ဤ OS ၏ လုပ်ဆောင်ချက်များကို စီစဉ်ရန် လိုအပ်လာပါသည်-

အပြည့်အဝ activated အသုံးပြုထားကြောင်း သေချာစေပါ Windows အသုံးပြုသူအနေဖြင့် အပ်ဒိတ်များနှင့် အမျိုးမျိုးသော အပလီကေးရှင်းများ (အင်တာနက်မှတစ်ဆင့် အပါအဝင်) ကို ထည့်သွင်းနိုင်စွမ်းနှင့်အတူ ၇။
အခြေအနေများပေါ်တွင် အခြေခံ၍ ကွန်ရက်အပြန်အလှန်ဆက်သွယ်မှုများကို ပြီးပြည့်စုံသော သို့မဟုတ် ရွေးချယ်ထားသော ဖယ်ထုတ်ခြင်းကို အကောင်အထည်ဖော်ပါ (ကိုယ်ပိုင်အုပ်ချုပ်ခွင့်နှင့် သွားလာမှု စစ်ထုတ်ခြင်းမုဒ်များ)၊
ဖြုတ်တပ်နိုင်သော မီဒီယာနှင့် စက်ပစ္စည်းများကို ရွေးချယ်ချိတ်ဆက်နိုင်စေပါသည်။

လွတ်လပ်သော စီမံအုပ်ချုပ်မှုကို ခွင့်ပြုထားသောကြောင့်၊ ဤကန့်သတ်ချက်အစုံသည် ရှင်းရှင်းလင်းလင်း ပြင်ဆင်ထားသည့် အသုံးပြုသူတစ်ဦးကို ကြိုတင်ထင်မြင်စေကာ ကန့်သတ်ချက်များသည် ၎င်း၏ ဖြစ်နိုင်ချေရှိသော လုပ်ဆောင်ချက်များကို ပိတ်ဆို့ခြင်းနှင့် သက်ဆိုင်ခြင်းမရှိသော်လည်း ဖြစ်နိုင်သော အမှားအယွင်းများ သို့မဟုတ် ပျက်စီးစေသော ဆော့ဖ်ဝဲလ်အကျိုးသက်ရောက်မှုများကို ချန်လှပ်ထားခြင်းကြောင့် ဖြစ်သည်။ အဲဒါတွေ။ မော်ဒယ်တွင် အတွင်းပိုင်းပြစ်မှုကျူးလွန်သူ မရှိပါ။

ဖြေရှင်းချက်တစ်ခုကို ရှာဖွေရာတွင်၊ ကျွန်ုပ်တို့သည် built-in သို့မဟုတ် အပိုဆောင်းနည်းလမ်းများကို အသုံးပြု၍ ကန့်သတ်ချက်များကို အကောင်အထည်ဖော်ရန် အယူအဆကို လျင်မြန်စွာ စွန့်လွှတ်ခဲ့သည်။ Windowsအပလီကေးရှင်းများကို ထည့်သွင်းခွင့်ပြုထားစဉ်တွင် administrator အခွင့်ထူးရှိသော အသုံးပြုသူတစ်ဦးကို ထိထိရောက်ရောက် ကန့်သတ်ရန် အတော်လေးခက်ခဲသောကြောင့်ဖြစ်သည်။

နောက်ဖြေရှင်းချက်မှာ virtualization ကိုအသုံးပြု၍ သီးခြားခွဲထားခြင်းဖြစ်သည်။ desktop virtualization အတွက် လူသိများသော ကိရိယာများ (ဥပမာ၊ virtualbox ကဲ့သို့သော) သည် လုံခြုံရေးပြဿနာများကို ဖြေရှင်းရန်အတွက် ညံ့ဖျင်းပြီး အသုံးပြုသူမှ စာရင်းသွင်းထားသော ကန့်သတ်ချက်များသည် guest virtual machine ၏ ဂုဏ်သတ္တိများကို အဆက်မပြတ်ပြောင်းခြင်း သို့မဟုတ် ချိန်ညှိခြင်းဖြင့် အသုံးပြုသူမှ လုပ်ဆောင်ရမည်ဖြစ်ပါသည်။ VM) သည် အမှားများ ဖြစ်နိုင်ခြေကို တိုးစေသည်။

တစ်ချိန်တည်းမှာပဲ၊ ကျွန်တော်တို့မှာ Qubes ကို user desktop system အနေနဲ့ အသုံးပြုခြင်းအတွေ့အကြုံရှိပေမယ့် guest system ရဲ့ တည်ငြိမ်မှုအပေါ် သံသယရှိခဲ့ပါတယ်။ Windowsလက်ရှိ Qubes ဗားရှင်းကို စမ်းသပ်ကြည့်ဖို့ ဆုံးဖြတ်လိုက်တာက ၎င်းမှာ ချမှတ်ထားတဲ့ ကန့်သတ်ချက်တွေက စနစ်ရဲ့ ပုံစံ၊ အထူးသဖြင့် virtual machine template တွေရဲ့ အကောင်အထည်ဖော်မှုနဲ့ visual integration တွေနဲ့ အရမ်းကိုက်ညီလို့ပါ။ အောက်မှာ လက်ရှိပြဿနာကို ဖြေရှင်းနည်းကို အသုံးပြုပြီး Qubes ရဲ့ နောက်ကွယ်က အကြံဉာဏ်တွေနဲ့ tool တွေကို အကျဉ်းချုပ် ဖော်ပြပါမယ်။

Xen virtualization အမျိုးအစားများ

Qubes သည် CPU၊ မှတ်ဉာဏ်နှင့် virtual machine resource management ကို အနည်းဆုံးဖြစ်အောင် လုပ်ဆောင်ပေးသည့် Xen hypervisor ပေါ်တွင် အခြေခံထားသည်။ အခြား device management အားလုံးကို kernel-based dom0 တွင် အာရုံစိုက်ထားသည်။ Linux (Qubes မှာ Fedora distribution ကို dom0 အတွက် အသုံးပြုပါတယ်)။

Xen သည် virtualization အမျိုးအစားများစွာကို ပံ့ပိုးပေးသည် (Xen သည် အခြားသူများကို ပံ့ပိုးပေးသော်လည်း Intel Architecture အတွက် နမူနာများကို ကျွန်ုပ်ပြောပြပါမည်)

paravirtualization (PV) - ဟာ့ဒ်ဝဲပံ့ပိုးမှုအသုံးမပြုဘဲ virtualization mode ကို container virtualization ကိုအမှတ်ရစေသော၊ လိုက်လျောညီထွေရှိသော kernel ရှိသည့်စနစ်များအတွက်အသုံးပြုနိုင်သည် (dom0 ဤမုဒ်တွင်အလုပ်လုပ်သည်)
full virtualization (HVM) - ဤမုဒ်တွင်၊ ပရိုဆက်ဆာအရင်းအမြစ်များအတွက် ဟာ့ဒ်ဝဲပံ့ပိုးမှုကို အသုံးပြုပြီး အခြားစက်ပစ္စည်းအားလုံးကို QEMU အသုံးပြု၍ အတုယူပါသည်။ ဤသည်မှာ အမျိုးမျိုးသော လည်ပတ်မှုစနစ်များကို လည်ပတ်ရန် လူတိုင်းအတွက် အရှိဆုံးနည်းလမ်းဖြစ်သည်။
ParaVirtualized Hardware (PVH) သည် hardware-assisted virtualization mode တစ်ခုဖြစ်ပြီး၊ guest kernel သည် hypervisor ၏ စွမ်းရည်များ (ဥပမာ၊ shared memory) နှင့် လိုက်လျောညီထွေဖြစ်အောင် ပြုလုပ်ထားသော drivers များကို hardware နှင့်အလုပ်လုပ်ရန်အသုံးပြုပြီး၊ QEMU emulation မလိုအပ်တော့ဘဲ I/O စွမ်းဆောင်ရည်ကို မြှင့်တင်ပေးပါသည်။ Linux 4.11 မှစတင်၍ ဤမုဒ်တွင်အလုပ်လုပ်နိုင်သည်။

Qubes 4.0 မှစတင်၍ လုံခြုံရေးအကြောင်းပြချက်ဖြင့် paravirtualization မုဒ်အသုံးပြုမှုကို စွန့်လွှတ်လိုက်သည် (Intel ဗိသုကာတွင် သိထားသောအားနည်းချက်များကြောင့် အပါအဝင်၊ အပြည့်အဝ virtualization ကိုအသုံးပြုခြင်းဖြင့် တစ်စိတ်တစ်ပိုင်းလျော့ပါးသွားသော) PVH မုဒ်ကို မူရင်းအတိုင်းအသုံးပြုပါသည်။

အတုယူခြင်း (HVM မုဒ်) ကို အသုံးပြုသည့်အခါ၊ QEMU ကို stubdomain ဟုခေါ်သော သီးခြား VM တွင် လွှင့်တင်ထားသည်၊ ထို့ကြောင့် အကောင်အထည်ဖော်မှုတွင် ဖြစ်နိုင်ချေရှိသော အမှားအယွင်းများကို အသုံးချခြင်း၏ အန္တရာယ်များကို လျှော့ချနိုင်သည် (QEMU ပရောဂျက်တွင် လိုက်ဖက်နိုင်မှု အပါအဝင် ကုဒ်များစွာပါရှိသည်)။
ကျွန်ုပ်တို့ကိစ္စတွင်၊ ဤမုဒ်ကို အသုံးပြုသင့်သည် Windows.

ဝန်ဆောင်မှု virtual စက်များ

Qubes လုံခြုံရေးဗိသုကာတွင်၊ hypervisor ၏ အဓိကစွမ်းဆောင်နိုင်မှုတစ်ခုမှာ PCI စက်ပစ္စည်းများကို ဧည့်သည်ပတ်ဝန်းကျင်သို့ လွှဲပြောင်းပေးခြင်းဖြစ်သည်။ ဟာ့ဒ်ဝဲကို ချန်လှပ်ထားခြင်းက သင့်အား ပြင်ပတိုက်ခိုက်မှုများမှ စနစ်၏အိမ်ရှင်အစိတ်အပိုင်းကို ခွဲထုတ်နိုင်စေပါသည်။ Xen သည် ၎င်းကို PV နှင့် HVM မုဒ်များအတွက် ပံ့ပိုးပေးသည်၊ ဒုတိယအခြေအနေတွင်၊ ၎င်းသည် IOMMU (Intel VT-d) - virtualized စက်ပစ္စည်းများအတွက် ဟာ့ဒ်ဝဲမှတ်ဉာဏ်စီမံခန့်ခွဲမှုအတွက် လိုအပ်သည်။

၎င်းသည် system virtual machines များစွာကို ဖန်တီးသည်-

sys-net၊ မည်သည့်ကွန်ရက်စက်ပစ္စည်းများကို လွှဲပြောင်းပြီး အခြား VM များအတွက် တံတားတစ်ခုအဖြစ် အသုံးပြုသည့် ဥပမာ၊ firewall သို့မဟုတ် VPN client ၏ လုပ်ဆောင်ချက်များကို အကောင်အထည်ဖော်သော၊
sys-usb၊ USB နှင့် အခြားသော အရံကိရိယာ ထိန်းချုပ်ကိရိယာများကို လွှဲပြောင်းပေးသော၊
sys-firewall သည် စက်ပစ္စည်းများကို အသုံးမပြုသော်လည်း ချိတ်ဆက်ထားသော VM များအတွက် firewall တစ်ခုအဖြစ် လုပ်ဆောင်သည်။

USB စက်များနှင့် အလုပ်လုပ်ရန်၊ အခြားအရာများထဲမှ ပေးဆောင်သည့် ပရောက်စီဝန်ဆောင်မှုများကို အသုံးပြုသည်-

HID (human interface device) device class အတွက်၊ dom0 သို့ command များပေးပို့ခြင်း၊
ဖယ်ရှားနိုင်သော မီဒီယာအတွက်၊ စက်ပစ္စည်း volumes များကို အခြား VM များသို့ ပြန်ညွှန်းခြင်း (dom0 မှလွဲ၍)
USB စက်ပစ္စည်းသို့ တိုက်ရိုက်ပြန်ညွှန်းခြင်း (USBIP နှင့် ပေါင်းစည်းရေးကိရိယာများကို အသုံးပြု)။

ထိုသို့သောဖွဲ့စည်းပုံတွင်၊ ကွန်ရက်အစုအစည်း သို့မဟုတ် ချိတ်ဆက်ထားသောစက်ပစ္စည်းများမှတစ်ဆင့် အောင်မြင်သောတိုက်ခိုက်မှုသည် လုပ်ဆောင်နေသောဝန်ဆောင်မှု VM ကိုသာ အပေးအယူဖြစ်စေနိုင်ပြီး စနစ်တစ်ခုလုံးအတွက်မဟုတ်ပေ။ ဝန်ဆောင်မှု VM ကို ပြန်လည်စတင်ပြီးနောက်၊ ၎င်းကို ၎င်း၏မူလအခြေအနေတွင် တင်ပေးပါမည်။

VM ပေါင်းစပ်ကိရိယာများ

virtual machine တစ်ခု၏ desktop နှင့် အပြန်အလှန် တုံ့ပြန်ရန် နည်းလမ်းများစွာ ရှိသည် - ဧည့်သည်စနစ်တွင် အပလီကေးရှင်းများ ထည့်သွင်းခြင်း သို့မဟုတ် virtualization ကိရိယာများကို အသုံးပြု၍ ဗီဒီယိုကို အတုယူခြင်း။ ဧည့်သည်အပလီကေးရှင်းများသည် အမျိုးမျိုးသော universal remote access tools (RDP, VNC, Spice, etc.) သို့မဟုတ် သီးခြား hypervisor သို့ လိုက်လျောညီထွေဖြစ်စေသည် (ထိုကဲ့သို့သောကိရိယာများကို အများအားဖြင့် ဧည့်သည်အသုံးအဆောင်များဟုခေါ်သည်)။ hypervisor သည် ဧည့်သည်စနစ်အတွက် I/O ကို အတုယူပြီး၊ ဥပမာ Spice ကဲ့သို့ I/O ပေါင်းစပ်သည့် ပရိုတိုကောကို အသုံးပြုနိုင်စွမ်းကို ပြင်ပမှ ပံ့ပိုးပေးသောအခါတွင် ရောစပ်ရွေးချယ်ခွင့်ကိုလည်း အသုံးပြုနိုင်သည်။ တစ်ချိန်တည်းမှာပင်၊ ပုံ၏အရည်အသွေးအပေါ် အပြုသဘောဆောင်သောအကျိုးသက်ရောက်မှုမရှိသော ကွန်ရက်တစ်ခုမှတစ်ဆင့် လုပ်ဆောင်ခြင်းတွင် ပါဝင်သောကြောင့် အဝေးမှဝင်ရောက်သုံးကိရိယာများသည် များသောအားဖြင့် ပုံအား ပိုကောင်းအောင်ပြုလုပ်ပေးသည်။

Qubes သည် VM ပေါင်းစည်းမှုအတွက် ၎င်း၏ကိုယ်ပိုင်ကိရိယာများကို ပံ့ပိုးပေးပါသည်။ ပထမဦးစွာ၊ ၎င်းသည် ဂရပ်ဖစ်စနစ်ခွဲတစ်ခုဖြစ်သည် - မတူညီသော VM များမှ windows များကို ၎င်းတို့၏ကိုယ်ပိုင်အရောင်ဘောင်ဖြင့် desktop တစ်ခုတည်းတွင်ပြသထားသည်။ ယေဘုယျအားဖြင့်၊ ပေါင်းစပ်ကိရိယာများသည် hypervisor - မျှဝေထားသောမှတ်ဉာဏ် (Xen grant table)၊ အသိပေးချက်ကိရိယာများ (Xen event channel)၊ shared storage xenstore နှင့် vchan communication protocol တို့၏ စွမ်းရည်များအပေါ် အခြေခံထားသည်။ ၎င်းတို့၏အကူအညီဖြင့်၊ အခြေခံအစိတ်အပိုင်းများ qrexec နှင့် qubes-rpc နှင့် အပလီကေးရှင်းဝန်ဆောင်မှုများ - အော်ဒီယို သို့မဟုတ် USB လမ်းကြောင်းပြောင်းခြင်း၊ ဖိုင်များ သို့မဟုတ် ကလစ်ဘုတ်အကြောင်းအရာများကို လွှဲပြောင်းခြင်း၊ ညွှန်ကြားချက်များကို လုပ်ဆောင်ခြင်းနှင့် အပလီကေးရှင်းများစတင်ခြင်းတို့ကို လုပ်ဆောင်သည်။ VM တွင်ရရှိနိုင်သောဝန်ဆောင်မှုများကိုကန့်သတ်ရန်သင့်အားခွင့်ပြုသည့်မူဝါဒများကိုသတ်မှတ်နိုင်သည်။ အောက်ဖော်ပြပါပုံသည် VM နှစ်ခု၏အပြန်အလှန်အပြန်အလှန်စတင်ခြင်းလုပ်ငန်းစဉ်၏ဥပမာတစ်ခုဖြစ်သည်။

ထို့ကြောင့်၊ သတင်းအချက်အလက်ပေါက်ကြားမှုကိုရှောင်ရှားရန် autonomous VM များကိုအပြည့်အဝအသုံးပြုခွင့်ပြုသည့်ကွန်ရက်ကိုအသုံးမပြုဘဲ VM တွင်အလုပ်လုပ်သည်။ ဥပမာအားဖြင့်၊ သီးခြား VM များတွင် သီးသန့်သော့များကို အသုံးပြုပြီး ၎င်းတို့ကို ကျော်လွန်၍မသွားကြသည့်အခါ ကုဒ်ဝှက်ခြင်းဆိုင်ရာ လုပ်ဆောင်ချက်များ (PGP/SSH) ကို ခွဲခြားသတ်မှတ်ခြင်းအား မည်ကဲ့သို့ လုပ်ဆောင်ခြင်းဖြစ်သည်။

နမူနာများ၊ အပလီကေးရှင်းများနှင့် တစ်ကြိမ်တည်း VM များ

Qubes မှာရှိတဲ့ အသုံးပြုသူရဲ့ အလုပ်အားလုံးဟာ virtual machine တွေအတွင်းမှာ ဖြစ်ပေါ်ပါတယ်။ underlying host system ကို ၎င်းတို့ကို စီမံခန့်ခွဲပြီး visualize လုပ်ဖို့အတွက် အသုံးပြုပါတယ်။ OS ကို template-based virtual machine တွေရဲ့ အခြေခံအစုံ (TemplateVM) နဲ့အတူ install လုပ်ထားပါတယ်။ အဲဒီလို template တစ်ခုဟာ Linux Fedora ဖြန့်ဖြူးမှုကို အခြေခံသည့် VM သို့မဟုတ် Debianထည့်သွင်းပြီး ပြင်ဆင်ထားသော ပေါင်းစပ်ကိရိယာများနှင့် သီးသန့်စနစ်နှင့် အသုံးပြုသူ အပိုင်းများပါရှိသည်။ ဆော့ဖ်ဝဲလ်ထည့်သွင်းခြင်းနှင့် အပ်ဒိတ်များကို built-in package manager (dnf သို့မဟုတ် apt) မှ မဖြစ်မနေ digital signature verification (GnuPG) ပါရှိသော ပြင်ဆင်ထားသော repositories များမှ လုပ်ဆောင်သည်။ ထိုကဲ့သို့သော VM များ၏ ရည်ရွယ်ချက်မှာ ၎င်းတို့ပေါ်တွင် လည်ပတ်နေသော application VM များအပေါ် ယုံကြည်မှုရှိစေရန်ဖြစ်သည်။

စတင်ချိန်တွင်၊ အပလီကေးရှင်း VM (AppVM) သည် သက်ဆိုင်ရာ VM နမူနာပုံစံ၏ စနစ်အပိုင်းခွဲ၏ လျှပ်တစ်ပြက်ဓာတ်ပုံကို အသုံးပြုကာ ပြီးစီးသောအခါတွင် အပြောင်းအလဲများကို မသိမ်းဆည်းဘဲ ဤလျှပ်တစ်ပြက်ရိုက်ချက်အား ဖျက်ပစ်ပါသည်။ အသုံးပြုသူလိုအပ်သောဒေတာကို ပင်မလမ်းညွှန်တွင်တပ်ဆင်ထားသည့် အပလီကေးရှင်း VM တစ်ခုစီအတွက် သီးခြားအသုံးပြုသူအပိုင်းတစ်ခုတွင် သိမ်းဆည်းထားသည်။

တစ်ခါသုံး VMs (disposableVM) ကိုအသုံးပြုခြင်းသည် လုံခြုံရေးရှုထောင့်မှ အသုံးဝင်ပါသည်။ ထိုသို့သော VM ကို စတင်ချိန်တွင် ပုံစံပလိတ်တစ်ခုအပေါ် အခြေခံ၍ ဖန်တီးထားပြီး အပလီကေးရှင်းတစ်ခုအား လုပ်ဆောင်ရန်၊ ၎င်းကို ပိတ်ပြီးနောက် အလုပ်ပြီးမြောက်စေရန် ရည်ရွယ်ချက်တစ်ခုအတွက် စတင်ခြင်းဖြစ်သည်။ တခါသုံး VM များကို သတ်သတ်မှတ်မှတ် အပလီကေးရှင်း အားနည်းချက်များကို အသုံးချနိုင်သည့် အကြောင်းအရာများကို သံသယဖြစ်ဖွယ် ဖိုင်များကို ဖွင့်ရန် အသုံးပြုနိုင်သည်။ တစ်ကြိမ်တည်း VM လည်ပတ်နိုင်မှုကို ဖိုင်မန်နေဂျာ (Nautilus) နှင့် အီးမေးလ်ကလိုင်းယင့် (Thunderbird) တို့တွင် ပေါင်းစပ်ထားသည်။

Windows VM တစ်ခုကို template တစ်ခုနှင့် တစ်ခါသုံး VM တစ်ခု ဖန်တီးရန်အတွက်လည်း အသုံးပြုနိုင်ပါသည်။ ၎င်းအတွက် user profile ကို သီးခြား partition တစ်ခုသို့ ရွှေ့ပါသည်။ ကျွန်ုပ်တို့၏ အကောင်အထည်ဖော်မှုတွင်၊ ထိုကဲ့သို့သော template တစ်ခုကို user မှ administration tasks များနှင့် application installation များအတွက် အသုံးပြုပါမည်။ template ကိုအခြေခံ၍ application VM အများအပြားကို ဖန်တီးပါမည် - network access ကန့်သတ်ထားသော တစ်ခု (default sys-firewall capabilities များကို အသုံးပြု၍) နှင့် network access လုံးဝမရှိသော တစ်ခု (virtual network device ကို မဖန်တီးပါ)။ template တွင် ထည့်သွင်းထားသော ပြောင်းလဲမှုများနှင့် application အားလုံးကို ဤ VM များတွင် လုပ်ဆောင်နိုင်မည်ဖြစ်ပြီး backdoor များ ထည့်သွင်းထားသော်လည်း၊ ၎င်းတို့ကို compromise ဖြစ်စေရန်အတွက် network access ကို ငြင်းပယ်မည်ဖြစ်သည်။

အတွက် တိုက်ပွဲ Windows

အထက်တွင်ဖော်ပြထားသော စွမ်းရည်များသည် Qubes ၏ အခြေခံဖြစ်ပြီး အတော်လေးတည်ငြိမ်စွာ အလုပ်လုပ်ပါသည်၊ အခက်အခဲများသည် စတင်ပါသည် Windowsပေါင်းစည်းမှုအတွက်။ Windows Qubes Guest Toolset ကိုသုံးရပါမယ်။ Windows Xen အတွက် drivers များ၊ qvideo driver နှင့် information exchange အတွက် utilities များ (file transfer နှင့် sending၊ clipboard) ပါဝင်သည့် QWT Tools (QWT)။ installation နှင့် configuration လုပ်ငန်းစဉ်ကို project ၏ website တွင် အပြည့်အစုံ မှတ်တမ်းတင်ထားသောကြောင့် ကျွန်ုပ်တို့၏ အတွေ့အကြုံကို မျှဝေပေးပါမည်။

အဓိကအခက်အခဲကတော့ တီထွင်ထားတဲ့ tool တွေအတွက် ပံ့ပိုးမှုမရှိတာပါပဲ။ အဓိက developer တွေ (QWT) ကိုတော့ မရရှိနိုင်ပုံရပြီး integration project ကလည်း ဒီ tool နဲ့ integration project မှာ အားနည်းနေပါတယ်။ Windows ဦးဆောင်ဆော့ဖ်ဝဲရေးသားသူကို စောင့်မျှော်နေပါတယ်။ ထို့ကြောင့်၊ ပထမခြေလှမ်းမှာ ၎င်း၏လုပ်ဆောင်နိုင်စွမ်းကို အကဲဖြတ်ပြီး လိုအပ်ပါက ကျွန်ုပ်တို့ကိုယ်တိုင် ပံ့ပိုးပေးနိုင်ခြင်း ရှိ၊ မရှိ ဆုံးဖြတ်ရန်ဖြစ်သည်။ တီထွင်ရန်နှင့် debug လုပ်ရန် အခက်ခဲဆုံးအပိုင်းမှာ ဗီဒီယို adapter နှင့် display ကို emulate လုပ်၍ shared memory တွင် image တစ်ခုထုတ်ပေးသည့် graphics driver ဖြစ်ပြီး desktop တစ်ခုလုံး သို့မဟုတ် application window ကို host system window တွင် တိုက်ရိုက်ပြသနိုင်စေပါသည်။ driver ၏စွမ်းဆောင်ရည်ကို ခွဲခြမ်းစိတ်ဖြာနေစဉ်၊ .NET environment တွင်တည်ဆောက်ရန်အတွက် code ကို ကျွန်ုပ်တို့ လိုက်လျောညီထွေဖြစ်အောင် ပြုလုပ်ခဲ့ပါသည်။ Linux ပြီးတော့ ဧည့်သည်နှစ်ယောက်ကြားမှာ debugging scheme တစ်ခုကို လုပ်ဆောင်ခဲ့ပါတယ် Windows စနစ်များ။ cross-build အဆင့်တွင်၊ ကျွန်ုပ်တို့သည် utilities များကို တိတ်ဆိတ်စွာထည့်သွင်းခြင်းနှင့် အဓိကအားဖြင့် ဆက်စပ်သော ရိုးရှင်းအောင်ပြုလုပ်မှု အပြောင်းအလဲများစွာကို ပြုလုပ်ခဲ့ပြီး VM တွင် ရေရှည်လည်ပတ်နေစဉ်အတွင်း စိတ်အနှောင့်အယှက်ဖြစ်စေသော စွမ်းဆောင်ရည် ယိုယွင်းမှုကိုလည်း ဖယ်ရှားခဲ့ပါသည်။ ဤလုပ်ငန်း၏ရလဒ်များကို သီးခြားစာရွက်စာတမ်းတစ်ခုတွင် စုစည်းထားပါသည်။ သိုလှောင်မှုများဒါကြောင့် မကြာပါဘူး။ လှုံ့ဆော်မှု ဦးဆောင် Qubes ပြုစုသူ။

ဧည့်သည်စနစ်တည်ငြိမ်မှုနှင့်ပတ်သက်၍ အရေးအကြီးဆုံးအဆင့်မှာ စတင်ခြင်းဖြစ်သည် Windows၊ ရင်းနှီးပြီးသား အပြာရောင် မျက်နှာပြင်ကို သင်မြင်ရနိုင်သည် (သို့မဟုတ် မမြင်ရပါ)။ Xen block device drivers များကို ပိတ်ခြင်း၊ VM memory balancing ကို ပိတ်ခြင်း၊ network settings များကို lock လုပ်ခြင်းနှင့် core အရေအတွက်ကို လျှော့ချခြင်း အပါအဝင် ဖော်ထုတ်တွေ့ရှိထားသော အမှားအများစုအတွက် ဖြေရှင်းနည်းအမျိုးမျိုးကို တွေ့ရှိခဲ့သည်။ ကျွန်ုပ်တို့၏ guest tool build ကို အပြည့်အဝ update လုပ်ထားသော ဗားရှင်းတွင် ထည့်သွင်းပြီး run ထားသည်။ Windows 7 Windows 10 (qvideo မှလွဲ၍)။

တကယ့်ပတ်ဝန်းကျင်မှ virtual ပတ်ဝန်းကျင်သို့ ပြောင်းလဲသည့်အခါ activation တွင် ပြဿနာတစ်ခု ဖြစ်ပေါ်ပါသည်။ Windows ကြိုတင်ထည့်သွင်းထားသော OEM ဗားရှင်းများကို အသုံးပြုသည့်အခါ။ ထိုကဲ့သို့သောစနစ်များသည် စက်ပစ္စည်း၏ UEFI တွင် သတ်မှတ်ထားသော လိုင်စင်များအပေါ် အခြေခံ၍ အသက်သွင်းခြင်းကို အသုံးပြုသည်။ သင့်လျော်သော အသက်သွင်းခြင်းကို သေချာစေရန်အတွက် host system ၏ ACPI အပိုင်းများထဲမှ တစ်ခုကို (SLIC ဇယား) guest system သို့ ဘာသာပြန်ဆိုပြီး ထုတ်လုပ်သူ၏ သီးခြားအချက်အလက်များကို သတ်မှတ်ကာ ကျန်အပိုင်းများကို အနည်းငယ်တည်းဖြတ်ရန် လိုအပ်ပါသည်။ Xen သည် အဓိက ACPI ဇယားများကို မပြုပြင်ဘဲ နောက်ထပ် ACPI ဇယားများ၏ အကြောင်းအရာများကို စိတ်ကြိုက်ပြင်ဆင်နိုင်စေပါသည်။ အလားတူ ပရောဂျက်မှ Qubes အတွက် လိုက်လျောညီထွေဖြစ်အောင် ပြုလုပ်ထားသော OpenXT patch သည် ဖြေရှင်းချက်တွင် အထောက်အကူဖြစ်စေခဲ့သည်။ ပြင်ဆင်ချက်များသည် ကျွန်ုပ်တို့အတွက်သာမကဘဲ နောက်ပိုင်းတွင် အဓိက Qubes repository နှင့် Libvirt library သို့ ရွှေ့ပြောင်းပေးခဲ့သည်။

ပေါင်းစပ်ကိရိယာများ၏ ထင်ရှားသော အားနည်းချက်များ Windows အသံနှင့် USB စက်ပစ္စည်းများအတွက် ပံ့ပိုးမှုမရှိခြင်းအပြင် hardware GPU ပံ့ပိုးမှုမရှိခြင်းကြောင့် မီဒီယာနှင့်အလုပ်လုပ်ရာတွင် အခက်အခဲရှိကြောင်း ဖော်ပြသင့်သည်။ သို့သော် ၎င်းသည် VM ကို ရုံးစာရွက်စာတမ်းများဖြင့်အလုပ်လုပ်ခြင်း သို့မဟုတ် သီးခြားကော်ပိုရိတ်အပလီကေးရှင်းများကို လည်ပတ်ခြင်းအတွက် အသုံးပြုခြင်းမှ မတားဆီးပါ။

တင်းပလိတ်ဖန်တီးပြီးနောက် အော့ဖ်လိုင်း သို့မဟုတ် ကန့်သတ်ထားသော ကွန်ရက်မုဒ်သို့ ပြောင်းရန် လိုအပ်ချက် Windows သင့်လျော်သော application VM configuration များကို ဖန်တီးခြင်းဖြင့် VM ကို အကောင်အထည်ဖော်ခဲ့ပြီး၊ ဖြုတ်တပ်နိုင်သော media များကို ရွေးချယ်ချိတ်ဆက်နိုင်စွမ်းကိုလည်း စံ OS tools များကို အသုံးပြု၍ ကိုင်တွယ်ခဲ့သည်။ ချိတ်ဆက်ပြီးသည်နှင့် ၎င်းတို့ကို system VM sys-usb တွင် ဝင်ရောက်အသုံးပြုနိုင်ပြီး ထိုမှတစ်ဆင့် ၎င်းတို့ကို လိုချင်သော VM သို့ forward လုပ်နိုင်သည်။ အသုံးပြုသူ၏ desktop သည် ဤကဲ့သို့ပုံစံရှိသည်။

စနစ်၏နောက်ဆုံးဗားရှင်းသည် အပြုသဘောဖြင့် (ဤမျှကျယ်ကျယ်ပြန့်ပြန့်ဖြေရှင်းချက်ခွင့်ပြုထားသရွေ့) အသုံးပြုသူများလက်ခံထားပြီး၊ စနစ်၏စံတူးလ်များသည် VPN မှတစ်ဆင့် အသုံးပြုသူ၏မိုဘိုင်းလ်အလုပ်ရုံသို့ အပလီကေးရှင်းကို VPN မှတစ်ဆင့်ဝင်ရောက်နိုင်စေခဲ့သည်။

အဲဒီအစားတစ်ဦးနိဂုံးပိုင်း၏

Virtualization သည် ယေဘုယျအားဖြင့် အသုံးပြုမှုအန္တရာယ်များကို လျှော့ချနိုင်စေပါသည်။ Windows ပံ့ပိုးမှုမရှိဘဲ ကျန်ရှိနေသောစနစ်များ - ဟာ့ဒ်ဝဲအသစ်နှင့် တွဲဖက်အသုံးပြုနိုင်မှုကို အတင်းအကျပ်မပြုလုပ်နိုင်ပါ၊ ကွန်ရက်မှတစ်ဆင့် သို့မဟုတ် ချိတ်ဆက်ထားသော စက်ပစ္စည်းများမှတစ်ဆင့် စနစ်ကို ဝင်ရောက်ခွင့်မှ ဖယ်ထုတ်ခြင်း သို့မဟုတ် ထိန်းချုပ်ခြင်းပြုလုပ်နိုင်စေပြီး တစ်ကြိမ်တည်းစတင်မှုအတွက် ပတ်ဝန်းကျင်တစ်ခုကို အကောင်အထည်ဖော်နိုင်စေပါသည်။

virtualization မှတဆင့် သီးခြားခွဲထားရန် စိတ်ကူးကို အခြေခံ၍ Qubes OS သည် သင့်အား လုံခြုံရေးအတွက် ယင်းနှင့် အခြားသော ယန္တရားများကို အသုံးချရန် ကူညီပေးပါသည်။ ပြင်ပမှလူများစွာသည် Qubes ကို အမည်ဝှက်လိုသောဆန္ဒတစ်ခုအဖြစ် မြင်ကြသော်လည်း ၎င်းသည် ပရောဂျက်များ၊ အခြေခံအဆောက်အအုံများနှင့် လျှို့ဝှက်ချက်များကို ၎င်းတို့ထံဝင်ရောက်ရန် မကြာခဏ လှည့်စားတတ်သော အင်ဂျင်နီယာများအတွက် အသုံးဝင်သောစနစ်တစ်ခုဖြစ်သည်။ အက်ပလီကေးရှင်းများ၊ ဒေတာနှင့် ၎င်းတို့၏ အပြန်အလှန်ဆက်သွယ်မှုကို တရားဝင်သတ်မှတ်ခြင်းသည် ခြိမ်းခြောက်မှုဆိုင်ရာ ခွဲခြမ်းစိတ်ဖြာမှုနှင့် လုံခြုံရေးစနစ်ဒီဇိုင်း၏ ကနဦးအဆင့်များဖြစ်သည်။ ဤခြားနားမှုသည် အချက်အလက်များကို တည်ဆောက်ရာတွင် အထောက်အကူဖြစ်စေပြီး လူ့အကြောင်းအရင်းဖြစ်သည့် အလျင်စလိုမှု၊ ပင်ပန်းနွမ်းနယ်မှု အစရှိသည်တို့ကြောင့် အမှားအယွင်းများဖြစ်နိုင်ခြေကို လျှော့ချပေးသည်။

လက်ရှိတွင် ဖွံ့ဖြိုးတိုးတက်မှု၏ အဓိကအာရုံစိုက်မှုမှာ လုပ်ဆောင်ချက်များကို တိုးချဲ့ရန်ဖြစ်သည်။ Linux ဗုဒ္ဓဟူးနေ့။ ဗားရှင်း ၄.၁ ကို ထွက်ရှိရန် ပြင်ဆင်နေပါသည်။ ၎င်းသည် Fedora 31 ကို အခြေခံထားပြီး အဓိက အစိတ်အပိုင်းများဖြစ်သည့် Xen နှင့် Libvirt တို့၏ နောက်ဆုံးပေါ် ဗားရှင်းများ ပါဝင်မည်ဖြစ်သည်။ Qubes ကို သတင်းအချက်အလက် လုံခြုံရေး ပညာရှင်များက တီထွင်ထားပြီး၊ ခြိမ်းခြောက်မှု အသစ်များ သို့မဟုတ် bug များကို တွေ့ရှိပါက အမြဲတမ်း အပ်ဒိတ်များကို ချက်ချင်း ထုတ်ပြန်ပေးလေ့ရှိကြောင်း သတိပြုသင့်သည်။

afterword

ကျွန်ုပ်တို့တီထွင်နေသော စမ်းသပ်လုပ်ဆောင်နိုင်စွမ်းများထဲမှ တစ်ခုသည် ကျွန်ုပ်တို့အား Intel GVT-g နည်းပညာကို အခြေခံ၍ GPU သို့ ဧည့်သည်ဝင်ရောက်ခွင့်အတွက် ပံ့ပိုးမှုဖြင့် VM များကို ဖန်တီးနိုင်စေကာ ၎င်းသည် ဂရပ်ဖစ်အဒက်တာ၏ စွမ်းရည်များကို အသုံးပြုနိုင်ပြီး စနစ်၏နယ်ပယ်ကို သိသိသာသာ ချဲ့ထွင်နိုင်စေပါသည်။ စာရေးနေစဉ်တွင်၊ ဤလုပ်ဆောင်ချက်သည် Qubes 4.1 ၏ စမ်းသပ်တည်ဆောက်မှုများအတွက် အလုပ်လုပ်နိုင်ပြီး ၎င်းတွင် ရနိုင်ပါသည်။ github.

source: www.habr.com