ProHoster > Kutumia QubesOS kufanya kazi na Windows 7

Kutumia QubesOS kufanya kazi na Windows 7

Hakuna nakala nyingi kuhusu Habré zilizotolewa kwa mfumo wa uendeshaji wa Qubes, na zile ambazo nimeona hazielezei uzoefu mwingi wa kuitumia. Chini ya kata, natumai kusahihisha hii kwa kutumia mfano wa kutumia Qubes kama njia ya ulinzi (dhidi ya) mazingira ya Windows na, wakati huo huo, kukadiria idadi ya watumiaji wanaozungumza Kirusi wa mfumo.

Kutumia QubesOS kufanya kazi na Windows 7

Kwa nini Qubes?

Hadithi ya mwisho wa msaada wa kiufundi kwa Windows 7 na wasiwasi unaoongezeka wa watumiaji ulisababisha hitaji la kupanga kazi ya OS hii, kwa kuzingatia mahitaji yafuatayo:

  • hakikisha matumizi ya Windows 7 iliyoamilishwa kikamilifu na uwezo wa mtumiaji kufunga sasisho na programu mbalimbali (ikiwa ni pamoja na kupitia mtandao);
  • kutekeleza kutengwa kamili au kuchagua kwa mwingiliano wa mtandao kulingana na hali (uendeshaji wa uhuru na njia za kuchuja trafiki);
  • kutoa uwezo wa kuchagua kuunganisha vyombo vya habari vinavyoweza kutolewa na vifaa.

Seti hii ya vikwazo inapendekeza mtumiaji aliyeandaliwa wazi, kwa kuwa utawala wa kujitegemea unaruhusiwa, na vikwazo havihusiani na kuzuia vitendo vyake vinavyowezekana, lakini kwa kutengwa kwa makosa iwezekanavyo au madhara ya programu ya uharibifu. Wale. Hakuna mkosaji wa ndani katika mfano.

Katika utaftaji wetu wa suluhisho, tuliachana haraka na wazo la kutekeleza vizuizi kwa kutumia zana zilizojengwa ndani au za ziada za Windows, kwani ni ngumu sana kumzuia mtumiaji na haki za msimamizi, na kumwachia uwezo wa kusanikisha programu.

Suluhisho lililofuata lilikuwa kutengwa kwa kutumia virtualization. Zana zinazojulikana za uboreshaji wa kompyuta ya mezani (kwa mfano, kama vile kisanduku pepe) hazifai kusuluhisha matatizo ya usalama na vizuizi vilivyoorodheshwa vitalazimika kufanywa na mtumiaji kwa kubadili kila mara au kurekebisha sifa za mashine pepe ya mgeni (ambayo itarejelewa hapa chini. kama VM), ambayo huongeza hatari ya makosa.

Wakati huo huo, tulikuwa na uzoefu wa kutumia Qubes kama mfumo wa eneo-kazi la mtumiaji, lakini tulikuwa na shaka kuhusu uthabiti wa kufanya kazi na Windows ya wageni. Iliamuliwa kuangalia toleo la sasa la Qubes, kwani mapungufu yaliyotajwa yanafaa sana katika dhana ya mfumo huu, haswa utekelezaji wa templeti za mashine za kawaida na ujumuishaji wa kuona. Ifuatayo, nitajaribu kuzungumza kwa ufupi kuhusu mawazo na zana za Qubes, kwa kutumia mfano wa kutatua tatizo.

Aina za uboreshaji wa Xen

Qubes inategemea hypervisor ya Xen, ambayo inapunguza kazi za kusimamia rasilimali za processor, kumbukumbu na mashine za kawaida. Kazi nyingine zote zilizo na vifaa zimejikita katika dom0 kulingana na kinu cha Linux (Qubes kwa dom0 hutumia usambazaji wa Fedora).

Kutumia QubesOS kufanya kazi na Windows 7

Xen inasaidia aina kadhaa za uboreshaji (nitatoa mifano ya usanifu wa Intel, ingawa Xen inasaidia wengine):

  • paravirtualization (PV) - hali ya uboreshaji bila matumizi ya usaidizi wa vifaa, kukumbusha uboreshaji wa chombo, inaweza kutumika kwa mifumo iliyo na kernel iliyobadilishwa (dom0 inafanya kazi katika hali hii);
  • virtualization kamili (HVM) - katika hali hii, msaada wa vifaa hutumiwa kwa rasilimali za processor, na vifaa vingine vyote vinaigwa kwa kutumia QEMU. Hii ndiyo njia ya ulimwengu wote ya kuendesha mifumo mbalimbali ya uendeshaji;
  • paravirtualization ya vifaa (PVH - ParaVirtualized Hardware) - hali ya uboreshaji kwa kutumia usaidizi wa vifaa wakati, kufanya kazi na vifaa, kernel ya mfumo wa wageni hutumia madereva yaliyobadilishwa kwa uwezo wa hypervisor (kwa mfano, kumbukumbu iliyoshirikiwa), kuondoa hitaji la kuiga QEMU. na kuongeza utendaji wa I/O. Kiini cha Linux kuanzia 4.11 kinaweza kufanya kazi katika hali hii.

Kutumia QubesOS kufanya kazi na Windows 7

Kuanzia na Qubes 4.0, kwa sababu za kiusalama, utumiaji wa hali ya uboreshaji umeachwa (ikiwa ni pamoja na kwa sababu ya udhaifu unaojulikana katika usanifu wa Intel, ambao umepunguzwa kwa matumizi ya uboreshaji kamili); Njia ya PVH hutumiwa kwa chaguo-msingi.

Wakati wa kutumia uigaji (hali ya HVM), QEMU inazinduliwa katika VM iliyotengwa inayoitwa stubdomain, na hivyo kupunguza hatari za kutumia makosa yanayoweza kutokea katika utekelezaji (mradi wa QEMU una msimbo mwingi, pamoja na utangamano).
Kwa upande wetu, hali hii inapaswa kutumika kwa Windows.

Huduma kwa mashine pepe

Katika usanifu wa usalama wa Qubes, mojawapo ya uwezo muhimu wa hypervisor ni uhamisho wa vifaa vya PCI kwenye mazingira ya wageni. Kutengwa kwa vifaa hukuruhusu kutenga sehemu ya mwenyeji wa mfumo kutoka kwa mashambulizi ya nje. Xen inasaidia hii kwa aina za PV na HVM, katika kesi ya pili inahitaji msaada kwa IOMMU (Intel VT-d) - usimamizi wa kumbukumbu ya vifaa kwa vifaa vya virtualized.

Hii inaunda mashine kadhaa za mfumo:

  • sys-net, ambayo vifaa vya mtandao huhamishiwa na ambayo hutumiwa kama daraja kwa VM zingine, kwa mfano, zile zinazotekeleza kazi za firewall au mteja wa VPN;
  • sys-usb, ambayo USB na vidhibiti vingine vya vifaa vya pembeni huhamishiwa;
  • sys-firewall, ambayo haitumii vifaa, lakini inafanya kazi kama ngome ya VM zilizounganishwa.

Kufanya kazi na vifaa vya USB, huduma za wakala hutumiwa, ambayo hutoa, kati ya mambo mengine:

  • kwa HID (kifaa cha kiolesura cha binadamu) darasa la kifaa, kutuma amri kwa dom0;
  • kwa midia inayoweza kutolewa, kuelekeza upya kiasi cha kifaa kwa VM nyingine (isipokuwa dom0);
  • kuelekeza moja kwa moja kwenye kifaa cha USB (kwa kutumia USBIP na zana za ujumuishaji).

Katika usanidi huo, shambulio la mafanikio kwa njia ya stack ya mtandao au vifaa vilivyounganishwa vinaweza kusababisha maelewano ya huduma ya uendeshaji tu ya VM, na sio mfumo mzima kwa ujumla. Na baada ya kuanzisha upya huduma ya VM, itapakiwa katika hali yake ya awali.

Zana za ujumuishaji za VM

Kuna njia kadhaa za kuingiliana na eneo-kazi la mashine pepe - kusakinisha programu katika mfumo wa wageni au kuiga video kwa kutumia zana za uboreshaji. Programu za wageni zinaweza kuwa zana mbalimbali za ufikiaji wa mbali kwa wote (RDP, VNC, Spice, n.k.) au kubadilishwa kwa hypervisor maalum (zana kama hizo kawaida huitwa huduma za wageni). Chaguo mchanganyiko pia linaweza kutumika, wakati hypervisor inaiga I/O kwa mfumo wa wageni, na kutoa nje uwezo wa kutumia itifaki inayochanganya I/O, kwa mfano, kama Spice. Wakati huo huo, zana za ufikiaji wa mbali kawaida huboresha picha, kwani zinahusisha kufanya kazi kupitia mtandao, ambayo haina athari nzuri juu ya ubora wa picha.

Qubes hutoa zana zake za ujumuishaji wa VM. Kwanza kabisa, hii ni mfumo mdogo wa graphics - madirisha kutoka kwa VM tofauti huonyeshwa kwenye desktop moja na sura yao ya rangi. Kwa ujumla, zana za ujumuishaji zinategemea uwezo wa hypervisor - kumbukumbu iliyoshirikiwa (meza ya ruzuku ya Xen), zana za arifa (kituo cha Xen), xenstore ya uhifadhi wa pamoja na itifaki ya mawasiliano ya vchan. Kwa msaada wao, vipengele vya msingi vya qrexec na qubes-rpc, na huduma za maombi zinatekelezwa - redirection ya sauti au USB, kuhamisha faili au maudhui ya ubao wa clipboard, kutekeleza amri na kuzindua maombi. Inawezekana kuweka sera zinazokuruhusu kuweka kikomo huduma zinazopatikana kwenye VM. Kielelezo hapa chini ni mfano wa utaratibu wa kuanzisha mwingiliano wa VM mbili.

Kutumia QubesOS kufanya kazi na Windows 7

Kwa hivyo, kazi katika VM inafanywa bila kutumia mtandao, ambayo inaruhusu matumizi kamili ya VM za uhuru ili kuepuka uvujaji wa habari. Kwa mfano, hii ndio jinsi utenganisho wa shughuli za kriptografia (PGP/SSH) hutekelezwa, wakati funguo za kibinafsi zinatumiwa katika VM zilizotengwa na haziendi zaidi yao.

Violezo, programu na VM za mara moja

Kazi zote za watumiaji katika Qubes hufanywa kwa mashine pepe. Mfumo mkuu wa mwenyeji hutumiwa kuwadhibiti na kuwaona. Mfumo wa Uendeshaji umesakinishwa pamoja na seti ya msingi ya mashine pepe zinazotegemea kiolezo (TemplateVM). Kiolezo hiki ni Linux VM kulingana na usambazaji wa Fedora au Debian, na zana za ujumuishaji zilizosakinishwa na kusanidiwa, na mfumo maalum na ugawaji wa watumiaji. Ufungaji na usasishaji wa programu unafanywa na msimamizi wa kawaida wa kifurushi (dnf au apt) kutoka kwa hazina zilizosanidiwa na uthibitishaji wa lazima wa saini ya dijiti (GnuPG). Madhumuni ya VM kama hizo ni kuhakikisha uaminifu katika programu za VM zilizozinduliwa kwa misingi yao.

Wakati wa kuanza, programu ya VM (AppVM) hutumia muhtasari wa kizigeu cha mfumo wa kiolezo kinacholingana cha VM, na inapokamilika hufuta muhtasari huu bila kuhifadhi mabadiliko. Data inayohitajika na mtumiaji huhifadhiwa katika kizigeu cha kipekee cha kila programu ya VM, ambacho kimewekwa kwenye saraka ya nyumbani.

Kutumia QubesOS kufanya kazi na Windows 7

Kutumia VM zinazoweza kutumika (disposableVM) kunaweza kuwa muhimu kutoka kwa mtazamo wa usalama. VM kama hiyo imeundwa kulingana na kiolezo wakati wa kuanza na inazinduliwa kwa kusudi moja - kutekeleza programu moja, kukamilisha kazi baada ya kufungwa. VM zinazoweza kutumika zinaweza kutumika kufungua faili zinazotiliwa shaka ambazo maudhui yake yanaweza kusababisha utumiaji wa udhaifu mahususi wa programu. Uwezo wa kuendesha VM ya wakati mmoja umeunganishwa kwenye kidhibiti faili (Nautilus) na mteja wa barua pepe (Thunderbird).

Windows VM pia inaweza kutumika kuunda kiolezo na VM ya mara moja kwa kuhamisha wasifu wa mtumiaji hadi sehemu tofauti. Katika toleo letu, kiolezo kama hicho kitatumiwa na mtumiaji kwa kazi za usimamizi na usakinishaji wa programu. Kulingana na kiolezo, VM kadhaa za programu zitaundwa - na ufikiaji mdogo wa mtandao (uwezo wa kawaida wa sys-firewall) na bila ufikiaji wa mtandao kabisa (kifaa cha mtandao cha kawaida hakijaundwa). Mabadiliko yote na programu zilizosakinishwa kwenye kiolezo zitapatikana kufanya kazi katika VM hizi, na hata programu za alamisho zikianzishwa, hazitakuwa na ufikiaji wa mtandao kwa maelewano.

Pigania kwa Windows

Vipengele vilivyoelezewa hapo juu ni msingi wa Qubes na hufanya kazi kwa utulivu kabisa; ugumu huanza na Windows. Ili kuunganisha Windows, lazima utumie seti ya zana za wageni Qubes Windows Tools (QWT), ambayo inajumuisha madereva ya kufanya kazi na Xen, dereva wa qvideo na seti ya huduma za kubadilishana habari (uhamisho wa faili, clipboard). Mchakato wa usakinishaji na usanidi umeandikwa kwa kina kwenye tovuti ya mradi, kwa hivyo tutashiriki uzoefu wetu wa maombi.

Ugumu kuu kimsingi ni ukosefu wa msaada kwa zana zilizotengenezwa. Wasanidi Muhimu (QWT) wanaonekana kuwa hawapatikani na mradi wa ujumuishaji wa Windows unasubiri msanidi programu mkuu. Kwa hiyo, kwanza kabisa, ilikuwa ni lazima kutathmini utendaji wake na kuunda uelewa wa uwezekano wa kuunga mkono kwa kujitegemea, ikiwa ni lazima. Kigumu zaidi kukuza na kurekebisha ni kiendeshi cha michoro, ambacho huiga adapta ya video na onyesho ili kutoa picha kwenye kumbukumbu iliyoshirikiwa, hukuruhusu kuonyesha eneo-kazi zima au dirisha la programu moja kwa moja kwenye dirisha la mfumo wa mwenyeji. Wakati wa uchanganuzi wa utendakazi wa dereva, tulibadilisha msimbo wa kukusanyika katika mazingira ya Linux na tukapanga mpango wa kurekebisha kati ya mifumo miwili ya wageni ya Windows. Katika hatua ya ujenzi, tulifanya mabadiliko kadhaa ambayo yamerahisisha mambo kwa ajili yetu, haswa katika suala la usakinishaji wa "kimya" wa huduma, na pia tukaondoa uharibifu wa kukasirisha wa utendaji wakati wa kufanya kazi katika VM kwa muda mrefu. Tuliwasilisha matokeo ya kazi kwa njia tofauti hazina, hivyo si kwa muda mrefu kutia moyo Msanidi wa Qubes anayeongoza.

Hatua muhimu zaidi katika suala la utulivu wa mfumo wa wageni ni kuanza kwa Windows, hapa unaweza kuona skrini ya bluu inayojulikana (au hata usione). Kwa makosa mengi yaliyotambuliwa, kulikuwa na njia mbalimbali za kufanya kazi - kuondoa viendeshi vya kifaa cha kuzuia Xen, kuzima usawazishaji wa kumbukumbu ya VM, kurekebisha mipangilio ya mtandao, na kupunguza idadi ya cores. Zana zetu za wageni huunda usakinishaji na huendesha kwenye Windows 7 na Windows 10 iliyosasishwa kikamilifu (isipokuwa qvideo).

Wakati wa kuhama kutoka kwa mazingira halisi hadi ya kawaida, tatizo linatokea kwa kuwezesha Windows ikiwa matoleo ya OEM yaliyosakinishwa awali yanatumiwa. Mifumo kama hii hutumia kuwezesha kulingana na leseni zilizobainishwa katika UEFI ya kifaa. Ili kusindika uanzishaji kwa usahihi, ni muhimu kutafsiri moja ya sehemu zote za ACPI za mfumo wa mwenyeji (meza ya SLIC) kwa mfumo wa wageni na kuhariri wengine kidogo, kusajili mtengenezaji. Xen hukuruhusu kubinafsisha yaliyomo kwenye ACPI ya meza za ziada, lakini bila kurekebisha zile kuu. Kiraka kutoka kwa mradi sawa wa OpenXT, ambao ulibadilishwa kwa Qubes, ulisaidia na suluhisho. Marekebisho yalionekana kuwa muhimu sio kwetu tu na yalitafsiriwa katika hazina kuu ya Qubes na maktaba ya Libvirt.

Hasara za wazi za zana za kuunganisha Windows ni pamoja na ukosefu wa msaada wa sauti, vifaa vya USB, na utata wa kufanya kazi na vyombo vya habari, kwa kuwa hakuna msaada wa vifaa kwa GPU. Lakini hapo juu haizuii matumizi ya VM kwa kufanya kazi na nyaraka za ofisi, wala haizuii uzinduzi wa maombi maalum ya ushirika.

Sharti la kubadili kwa hali ya kufanya kazi bila mtandao au mtandao mdogo baada ya kuunda kiolezo cha Windows VM ilitimizwa kwa kuunda usanidi unaofaa wa VM za programu, na uwezekano wa kuunganisha kwa hiari vyombo vya habari vinavyoweza kutolewa pia ulitatuliwa na zana za kawaida za OS - wakati zimeunganishwa. , zinapatikana katika mfumo wa VM sys-usb, kutoka ambapo zinaweza "kutumwa" hadi VM inayohitajika. Kompyuta ya mezani ya mtumiaji inaonekana kama hii.

Kutumia QubesOS kufanya kazi na Windows 7

Toleo la mwisho la mfumo lilikuwa chanya (kwa kadiri suluhisho la kina linaruhusu) kukubaliwa na watumiaji, na zana za kawaida za mfumo zilifanya iwezekane kupanua programu kwenye kituo cha kazi cha rununu cha mtumiaji na ufikiaji kupitia VPN.

Badala ya hitimisho

Virtualization kwa ujumla hukuruhusu kupunguza hatari za kutumia mifumo ya Windows iliyoachwa bila msaada - hailazimishi utangamano na vifaa vipya, hukuruhusu kuwatenga au kudhibiti ufikiaji wa mfumo kupitia mtandao au kupitia vifaa vilivyounganishwa, na hukuruhusu kutekeleza mazingira ya uzinduzi wa mara moja.

Kulingana na wazo la kutengwa kupitia uboreshaji, Qubes OS hukusaidia kutumia njia hizi na zingine za usalama. Kutoka nje, watu wengi wanaona Qubes kimsingi kama hamu ya kutokujulikana, lakini ni mfumo muhimu kwa wahandisi, ambao mara nyingi huchanganya miradi, miundomsingi, na siri ili kuzifikia, na kwa watafiti wa usalama. Mgawanyo wa maombi, data na urasimishaji wa mwingiliano wao ni hatua za awali za uchambuzi wa vitisho na muundo wa mfumo wa usalama. Mgawanyiko huu husaidia kuunda habari na kupunguza uwezekano wa makosa kutokana na sababu ya kibinadamu - haraka, uchovu, nk.

Hivi sasa, msisitizo kuu katika maendeleo ni kupanua utendaji wa mazingira ya Linux. Toleo la 4.1 linatayarishwa kwa ajili ya kutolewa, ambalo litategemea Fedora 31 na kujumuisha matoleo ya sasa ya vipengele muhimu Xen na Libvirt. Inafaa kumbuka kuwa Qubes imeundwa na wataalamu wa usalama wa habari ambao kila wakati hutoa sasisho mara moja ikiwa vitisho au makosa mapya yatatambuliwa.

Baada ya

Moja ya uwezo wa majaribio tunayokuza huturuhusu kuunda VM kwa usaidizi wa ufikiaji wa wageni kwa GPU kulingana na teknolojia ya Intel GVT-g, ambayo huturuhusu kutumia uwezo wa adapta ya michoro na kupanua kwa kiasi kikubwa wigo wa mfumo. Wakati wa kuandika, utendakazi huu hufanya kazi kwa majaribio ya Qubes 4.1, na inapatikana kwenye github.

Chanzo: mapenzi.com

Kuongeza maoni