د هابري په اړه ډیری مقالې شتون نلري چې د کیوبس عملیاتي سیسټم ته وقف شوي، او هغه څه چې ما لیدلي د دې کارولو تجربه نه بیانوي. د کټ لاندې، زه هیله لرم چې دا د وینډوز چاپیریال د ساتنې (مخالف) په توګه د Qubes کارولو مثال په کارولو سره سم کړئ او په ورته وخت کې، د سیسټم د روسی ژبو کاروونکو شمیر اټکل کړئ.
ولې کیوبس؟
د وینډوز 7 لپاره د تخنیکي ملاتړ پای ته رسیدو کیسه او د کاروونکو مخ په زیاتیدونکي اندیښنې د دې OS کار تنظیم کولو اړتیا رامینځته کړې ، لاندې اړتیاو ته په پام سره:
- ډاډ ترلاسه کړئ چې د بشپړ فعال وینډوز 7 کارول د کارونکي لپاره د تازه معلوماتو او مختلف غوښتنلیکونو نصبولو وړتیا سره (په شمول د انټرنیټ له لارې)؛
- د شرایطو پراساس د شبکې تعاملاتو بشپړ یا انتخابي جال پلي کول (خپلواکه عملیات او د ترافیک فلټر کولو طریقې)؛
- د لرې کولو وړ میډیا او وسیلو په انتخاب سره د وصل کولو وړتیا چمتو کړئ.
د محدودیتونو دا مجموعه په واضح ډول چمتو شوي کارونکي وړاندیز کوي ، ځکه چې خپلواکه اداره اجازه لري ، او محدودیتونه د هغه د احتمالي عملونو بندولو پورې اړه نلري ، مګر د احتمالي غلطیو یا تخریبي سافټویر اغیزو لرې کولو پورې اړه لري. هغوی. په ماډل کې هیڅ داخلي مجرم نشته.
د حل لپاره زموږ په لټون کې، موږ په چټکۍ سره د جوړ شوي یا اضافي وینډوز وسیلو په کارولو سره د محدودیتونو پلي کولو مفکوره پریښوده، ځکه چې دا خورا ستونزمن کار دی چې یو کاروونکي په مؤثره توګه د مدیر حقونو سره محدود کړي، هغه د غوښتنلیکونو نصبولو وړتیا پریږدي.
بل حل د مجازی کولو په کارولو سره انزوا وه. د ډیسټاپ مجازی کولو لپاره پیژندل شوي وسیلې (د مثال په توګه ، لکه ورچوئل باکس) د امنیت ستونزو حل کولو لپاره په مناسب ډول مناسب ندي او لیست شوي محدودیتونه باید د کارونکي لخوا په دوامداره توګه د میلمه مجازی ماشین ملکیتونو بدلولو یا تنظیم کولو سره ترسره شي (له دې وروسته ورته اشاره شوې. لکه د VM)، کوم چې د غلطیو خطر زیاتوي.
په ورته وخت کې، موږ د کاروونکي ډیسټاپ سیسټم په توګه د Qubes کارولو تجربه درلوده، مګر د میلمنو وینډوز سره د کار کولو ثبات په اړه شک درلود. دا پریکړه وشوه چې د کیوبس اوسنی نسخه وګورئ، ځکه چې بیان شوي محدودیتونه د دې سیسټم په تمثیل کې خورا ښه دي، په ځانګړې توګه د مجازی ماشین ټیمپلیټونو پلي کول او بصری ادغام. بیا به زه هڅه وکړم چې د ستونزې د حل کولو مثال په کارولو سره د کیوبس د نظریاتو او وسایلو په اړه لنډې خبرې وکړم.
د Xen مجازی کولو ډولونه
Qubes د Xen hypervisor پر بنسټ والړ دی، کوم چې د پروسیسر سرچینو، حافظې او مجازی ماشینونو اداره کولو دندې کموي. د وسیلو سره نور ټول کار د لینکس کرنل پراساس په dom0 کې متمرکز دی (د dom0 لپاره کیوبس د فیډورا توزیع کاروي).
Xen د څو ډوله مجازی کولو ملاتړ کوي (زه به د Intel جوړښت لپاره مثالونه ورکړم، که څه هم Xen د نورو ملاتړ کوي):
- paravirtualization (PV) - د هارډویر ملاتړ کارولو پرته د مجازی کولو حالت، د کانټینر مجازی کولو یادونه کوي، د سیسټمونو لپاره د تطبیق شوي کرنل سره کارول کیدی شي (dom0 پدې حالت کې کار کوي)؛
- بشپړ مجازی کول (HVM) - پدې حالت کې ، د هارډویر ملاتړ د پروسیسر سرچینو لپاره کارول کیږي ، او نور ټول تجهیزات د QEMU په کارولو سره تقلید کیږي. دا د مختلف عملیاتي سیسټمونو چلولو ترټولو نړیواله لاره ده؛
- د هارډویر پارورچوولائزیشن (PVH - ParaVirtualized Hardware) - د هارډویر ملاتړ په کارولو سره د مجازی کولو حالت کله چې د هارډویر سره کار کولو لپاره ، د میلمه سیسټم کارنل د هایپروایزر وړتیاو سره تطبیق شوي ډرایورونه کاروي (د مثال په توګه ، شریکه حافظه) ، د QEMU ایمولیشن اړتیا له مینځه وړي او د I/O فعالیت زیاتوي. د لینکس کرنل چې له 4.11 څخه پیل کیږي پدې حالت کې کار کولی شي.
د Qubes 4.0 سره پیل کول، د امنیتي دلایلو لپاره، د پارورچوولائزیشن حالت کارول پریښودل شوي (پشمول د Intel جوړښت کې د پیژندل شوي زیانونو له امله، کوم چې د بشپړ مجازی کولو کارولو لخوا په جزوي توګه کم شوي)؛ د PVH حالت د ډیفالټ لخوا کارول کیږي.
کله چې ایمولیشن (HVM موډ) وکاروئ ، QEMU په یو جلا VM کې د سټوبډومین په نوم پیل شوی ، په دې توګه په پلي کولو کې د احتمالي غلطیو څخه د ګټې اخیستنې خطرونه کموي (د QEMU پروژه ډیری کوډ لري ، پشمول د مطابقت لپاره).
زموږ په قضیه کې، دا حالت باید د وینډوز لپاره وکارول شي.
د مجازی ماشینونو خدمت
د کیوبس امنیت جوړښت کې ، د هایپروایزر یو له کلیدي وړتیاو څخه د میلمه چاپیریال ته د PCI وسیلو لیږد دی. د هارډویر جلا کول تاسو ته اجازه درکوي د سیسټم کوربه برخه د بهرني بریدونو څخه جلا کړئ. Xen دا د PV او HVM حالتونو لپاره ملاتړ کوي، په دویمه قضیه کې دا د IOMMU (Intel VT-d) لپاره ملاتړ ته اړتیا لري - د مجازی وسیلو لپاره د هارډویر حافظې مدیریت.
دا ډیری سیسټم مجازی ماشینونه رامینځته کوي:
- sys-net، کوم چې د شبکې وسایل لیږدول کیږي او کوم چې د نورو VMs لپاره د پل په توګه کارول کیږي، د بیلګې په توګه، هغه څوک چې د فایر وال یا VPN پیرودونکي دندې پلي کوي؛
- sys-usb، کوم ته چې USB او نور د پردې وسایل کنټرولر لیږدول کیږي؛
- sys-firewall، کوم چې وسایل نه کاروي، مګر د وصل شوي VMs لپاره د فایر وال په توګه کار کوي.
د USB وسیلو سره کار کولو لپاره، پراکسي خدمتونه کارول کیږي، کوم چې د نورو شیانو په منځ کې چمتو کوي:
- د HID (د انسان انٹرفیس وسیلې) وسیلې ټولګي لپاره ، dom0 ته امرونه لیږل؛
- د لرې کولو وړ میډیا لپاره، د وسیلې حجم نورو VMs ته لیږدول (د dom0 پرته)؛
- مستقیم USB وسیلې ته لیږدول (د USBIP او ادغام وسیلو په کارولو سره).
په داسې ترتیب کې ، د شبکې سټیک یا وصل شوي وسیلو له لارې بریالي برید کولی شي یوازې د روان خدمت VM جوړجاړی لامل شي ، نه په بشپړ ډول ټول سیسټم. او د VM خدمت بیا پیل کولو وروسته ، دا به په خپل اصلي حالت کې بار شي.
د VM ادغام وسیلې
د مجازی ماشین ډیسټاپ سره متقابل عمل کولو لپاره ډیری لارې شتون لري - د میلمه سیسټم کې غوښتنلیکونه نصب کول یا د مجازی وسیلو په کارولو سره د ویډیو تقلید کول. د میلمنو غوښتنلیکونه کیدی شي مختلف نړیوال ریموټ لاسرسي وسیلې وي (RDP, VNC, Spice, etc.) یا د ځانګړي هایپروایزر سره تطابق شوي (دا ډول وسیلې معمولا د میلمنو اسانتیاو په نوم یادیږي). یو مخلوط اختیار هم کارول کیدی شي، کله چې هایپروایسر د میلمانه سیسټم لپاره I/O تقلید کوي، او په بهر کې د پروتوکول کارولو وړتیا چمتو کوي چې I/O سره یوځای کوي، د بیلګې په توګه، د سپیس په څیر. په ورته وخت کې، د لرې لاسرسي وسیلې معمولا عکس غوره کوي، ځکه چې دوی د شبکې له لارې کار کوي، کوم چې د عکس کیفیت باندې مثبت اغیزه نلري.
کیوبس د VM ادغام لپاره خپل وسایل چمتو کوي. له هرڅه دمخه ، دا د ګرافیک فرعي سیسټم دی - د مختلف VMs وینډوز په یو ډیسټاپ کې د خپل رنګ چوکاټ سره ښودل کیږي. په عموم کې ، د ادغام وسیلې د هایپروایزر وړتیاو پراساس دي - شریک حافظه (Xen گرانټ جدول) ، د خبرتیا وسیلې (د Xen پیښې چینل) ، شریک ذخیره xenstore او د vchan مخابراتي پروتوکول. د دوی په مرسته، اساسي برخې qrexec او qubes-rpc، او د غوښتنلیک خدمتونه پلي کیږي - آډیو یا USB ریډائریکشن، د فایلونو یا کلپ بورډ مینځپانګې لیږدول، د امرونو اجرا کول او د غوښتنلیکونو پیل کول. دا ممکنه ده چې پالیسۍ تنظیم کړئ چې تاسو ته اجازه درکوي په VM کې موجود خدمات محدود کړئ. لاندې انځور د دوه VMs متقابل عمل پیل کولو طرزالعمل یوه بیلګه ده.
پدې توګه ، په VM کې کار د شبکې کارولو پرته ترسره کیږي ، کوم چې د معلوماتو لیک کیدو مخنیوي لپاره د خپلواکو VMs بشپړ کارولو ته اجازه ورکوي. د مثال په توګه، دا څنګه د کریپټوګرافیک عملیاتو جلا کول (PGP/SSH) پلي کیږي، کله چې شخصي کیلي په جلا VMs کې کارول کیږي او له دوی څخه بهر نه ځي.
ټیمپلیټونه، غوښتنلیک او یو وخت VMs
په Qubes کې د کاروونکي ټول کار په مجازی ماشینونو کې ترسره کیږي. اصلي کوربه سیسټم د دوی د کنټرول او لید لپاره کارول کیږي. OS د ټیمپلیټ پراساس مجازی ماشینونو (TemplateVM) لومړني سیټ سره نصب شوی. دا کېنډۍ د فیډورا یا دبیان توزیع پر بنسټ د لینکس VM دی، د ادغام وسیلې نصب او ترتیب شوي، او وقف شوي سیسټم او کارن برخې. د سافټویر نصب او تازه کول د معیاري کڅوړې مدیر (dnf یا apt) لخوا د لازمي ډیجیټل لاسلیک تصدیق (GnuPG) سره د ترتیب شوي زیرمو څخه ترسره کیږي. د دې ډول VMs هدف د دوی په اساس پیل شوي غوښتنلیک VMs باور یقیني کول دي.
په پیل کې، یو غوښتنلیک VM (AppVM) د اړونده VM ټیمپلیټ د سیسټم برخې یو سنیپ شاټ کاروي، او د بشپړیدو وروسته دا سنیپ شاټ د بدلونونو خوندي کولو پرته حذف کوي. د کارونکي لخوا اړین معلومات د هر غوښتنلیک VM لپاره ځانګړي د کارونکي برخې کې زیرمه شوي ، کوم چې د کور لارښود کې نصب شوی.
د ډیسپوز ایبل VMs (DisposableVM) کارول د امنیت له نظره ګټور کیدی شي. دا ډول VM د پیل کولو په وخت کې د ټیمپلیټ پراساس رامینځته شوی او د یو هدف لپاره پیل شوی - د یو غوښتنلیک اجرا کولو لپاره ، د بندیدو وروسته کار بشپړ کول. د ضایع کیدو وړ VMs د شکمنو فایلونو خلاصولو لپاره کارول کیدی شي چې مینځپانګه یې کولی شي د ځانګړي غوښتنلیک زیانونو استخراج لامل شي. د یو وخت VM چلولو وړتیا د فایل مدیر (Nautilus) او بریښنالیک پیرودونکي (Thunderbird) کې مدغم شوی.
د وینډوز VM د ټیمپلیټ او یو وخت VM جوړولو لپاره هم کارول کیدی شي د کارونکي پروفایل جلا برخې ته لیږدولو سره. زموږ په نسخه کې، دا ډول ټیمپلیټ به د کارونکي لخوا د ادارې دندو او غوښتنلیک نصبولو لپاره وکارول شي. د ټیمپلیټ پراساس ، ډیری غوښتنلیکونه VMs به رامینځته شي - شبکې ته د محدود لاسرسي سره (معیاري sys-فیروال وړتیاوې) او په هیڅ ډول شبکې ته لاسرسی پرته (د مجازی شبکې وسیله نه ده رامینځته شوې). په ټیمپلیټ کې نصب شوي ټول بدلونونه او غوښتنلیکونه به په دې VMs کې د کار کولو لپاره شتون ولري، او حتی که د بک مارک پروګرامونه معرفي شي، دوی به د جوړجاړي لپاره شبکې ته لاسرسی ونلري.
د وینډوز لپاره مبارزه
پورته بیان شوي ځانګړتیاوې د کیوبس اساس دي او په کافی اندازه کار کوي؛ ستونزې د وینډوز سره پیل کیږي. د وینډوز مدغم کولو لپاره، تاسو باید د میلمنو وسیلو یوه سیټ وکاروئ Qubes Windows Tools (QWT)، چې پکې د Xen سره کار کولو لپاره ډرایورونه، د Qvideo ډرایور او د معلوماتو تبادلې لپاره د اسانتیاوو سیټ شامل دي (د فایل لیږد، کلپ بورډ). د نصب او ترتیب کولو پروسه د پروژې په ویب پا onه کې په تفصیل سره مستند شوې ، نو موږ به زموږ د غوښتنلیک تجربه شریک کړو.
اصلي ستونزه په اصل کې د پرمختللي وسیلو لپاره د ملاتړ نشتوالی دی. کلیدي پراختیا کونکي (QWT) داسې ښکاري چې شتون نلري او د وینډوز ادغام پروژه د مخکښ پراختیا کونکي په تمه ده. له همدې امله، تر ټولو لومړی، دا اړینه وه چې د دې فعالیت ارزونه وکړي او د اړتیا په صورت کې په خپلواکه توګه د هغې د مالتړ د امکان په اړه پوهه جوړه کړي. د ګرافیک ډرایور رامینځته کول او ډیبګ کول خورا ستونزمن دي ، کوم چې د ویډیو اډاپټر تقلید کوي او په شریکه حافظه کې عکس رامینځته کولو لپاره نمایش کوي ، تاسو ته اجازه درکوي د کوربه سیسټم کړکۍ کې مستقیم ډیسټاپ یا د غوښتنلیک کړکۍ ښکاره کړئ. د ډرایور عملیاتو تحلیل په جریان کې ، موږ د لینکس چاپیریال کې د مجلس لپاره کوډ تطابق کړی او د دوه وینډوز میلمنو سیسټمونو ترمینځ د ډیبګ کولو سکیم کار کړی. د کراس بلډ مرحلې کې ، موږ ډیری بدلونونه رامینځته کړل چې زموږ لپاره شیان ساده کړي ، په ځانګړي توګه د اسانتیاو د "خاموش" نصب کولو شرایطو کې ، او همدارنګه د اوږدې مودې لپاره په VM کې کار کولو پرمهال د فعالیت ځورونکي تخریب له مینځه وړي. موږ د کار پایلې په جلا توګه وړاندې کړې نو د اوږدې مودې لپاره نه لیډ کیوبس پرمخ وړونکی.
د میلمنو سیسټم ثبات په شرایطو کې ترټولو مهم مرحله د وینډوز پیل دی ، دلته تاسو پیژندل شوی نیلي سکرین لیدلی شئ (یا حتی دا یې نه ګورئ). د ډیری پیژندل شویو غلطیو لپاره، مختلف حلونه شتون درلود - د Xen بلاک وسیلې ډرایورانو له منځه وړل، د VM حافظې توازن غیر فعال کول، د شبکې ترتیبات تنظیم کول، او د کور شمیر کمول. زموږ د میلمنو وسیلې په بشپړ ډول تازه شوي وینډوز 7 او وینډوز 10 کې انسټالونه رامینځته کوي او چلوي (د Qvideo پرته).
کله چې له ریښتیني چاپیریال څخه مجازی ته حرکت وکړئ ، د وینډوز فعالولو سره ستونزه رامینځته کیږي که چیرې دمخه نصب شوي OEM نسخې وکارول شي. دا ډول سیسټمونه د وسیلې UEFI کې مشخص شوي جوازونو پراساس فعالیت کاروي. د فعالولو په سمه توګه پروسس کولو لپاره، دا اړینه ده چې د کوربه سیسټم (SLIC جدول) د ټولو ACPI برخو څخه یوه برخه د میلمنو سیسټم ته وژباړئ او نور یې لږ څه ترمیم کړئ، د جوړونکي راجستر کول. Xen تاسو ته اجازه درکوي د اضافي جدولونو د ACPI مینځپانګې دودیز کړئ ، مګر پرته له دې چې اصلي بدل کړئ. د ورته OpenXT پروژې څخه یوه پیچ، چې د کیوبس لپاره تطبیق شوی و، د حل سره مرسته وکړه. اصلاحات نه یوازې زموږ لپاره ګټور بریښي او د کیوبس اصلي ذخیره او لیب ویرټ کتابتون کې ژباړل شوي.
د وینډوز ادغام وسیلو څرګند زیانونه د آډیو ، USB وسیلو لپاره د ملاتړ نشتوالی ، او د میډیا سره د کار کولو پیچلتیا شامل دي ، ځکه چې د GPU لپاره هارډویر ملاتړ شتون نلري. مګر پورته د دفتر اسنادو سره د کار کولو لپاره د VM کارولو مخه نه نیسي، او نه دا د ځانګړو شرکتونو غوښتنلیکونو د پیل مخه نیسي.
د وینډوز VM ټیمپلیټ رامینځته کولو وروسته پرته له شبکې یا محدود شبکې سره عملیاتي حالت ته د بدلولو اړتیا د غوښتنلیک VMs مناسب تشکیلاتو رامینځته کولو سره پوره شوې ، او د لرې کولو وړ میډیا انتخاب کولو امکان هم د معیاري OS وسیلو لخوا حل شوی - کله چې وصل شي. ، دوی د VM sys-usb سیسټم کې شتون لري ، له کوم ځای څخه چې دوی اړین VM ته "فرورډ" کیدی شي. د کارونکي ډیسټاپ یو څه داسې ښکاري.
د سیسټم وروستۍ نسخه مثبته وه (تر هغه ځایه چې دا ډول هراړخیز حل اجازه ورکوي) د کاروونکو لخوا منل شوی، او د سیسټم معیاري وسیلو دا امکان رامینځته کړی چې د VPN له لارې د لاسرسي سره د کارونکي ګرځنده کار سټیشن ته غوښتنلیک پراخه کړي.
پر ځای د يو پایلې
په عموم کې مجازی کول تاسو ته اجازه درکوي د وینډوز سیسټمونو کارولو خطرونه کم کړئ چې پرته له ملاتړ څخه پاتې دي - دا د نوي هارډویر سره مطابقت نه اړوي ، دا تاسو ته اجازه درکوي د شبکې یا وصل شوي وسیلو له لارې سیسټم ته لاسرسی لرې یا کنټرول کړئ ، او دا تاسو ته اجازه درکوي. د یو ځل پیل کولو چاپیریال پلي کول.
د مجازی کولو له لارې د جلا کولو مفکورې پراساس، کیوبس OS تاسو سره د امنیت لپاره د دې او نورو میکانیزمونو ګټه پورته کولو کې مرسته کوي. له بهر څخه، ډیری خلک کیوبس په ابتدايي توګه د هویت د غوښتنې په توګه ګوري، مګر دا د انجنیرانو لپاره یو ګټور سیسټم دی، څوک چې ډیری وختونه پروژې، زیربناوې، او رازونو ته لاسرسۍ کوي، او د امنیت څیړونکو لپاره. د غوښتنلیکونو جلا کول، ډاټا او د دوی د تعامل رسمي کول د ګواښ تحلیل او د امنیت سیسټم ډیزاین لومړني ګامونه دي. دا جلا کول د معلوماتو په جوړښت کې مرسته کوي او د انساني فاکتور - ګړندي ، ستړیا او داسې نورو له امله د غلطیو احتمال کموي.
اوس مهال، په پراختیا کې اصلي ټینګار د لینکس چاپیریال فعالیت پراخول دي. 4.1 نسخه د خوشې کولو لپاره چمتو کیږي، کوم چې به د فیډورا 31 پر بنسټ وي او د Xen او Libvirt کلیدي برخو اوسني نسخې پکې شامل وي. د یادونې وړ ده چې کیوبس د معلوماتو امنیت متخصصینو لخوا رامینځته شوی څوک چې تل سمدستي تازه معلومات خپروي که نوي ګواښونه یا خطاګانې وپیژندل شي.
وروسته
یو له تجربوي وړتیاو څخه چې موږ یې وده کوو موږ ته اجازه راکوي چې د Intel GVT-g ټیکنالوژۍ پراساس GPU ته د میلمنو لاسرسي لپاره ملاتړ سره VMs رامینځته کړو ، کوم چې موږ ته اجازه راکوي د ګرافیک اډاپټر وړتیا وکاروو او د سیسټم ساحه د پام وړ پراخه کړو. د لیکلو په وخت کې، دا فعالیت د کیوبس 4.1 ټیسټ جوړونو لپاره کار کوي، او شتون لري .
سرچینه: www.habr.com