Дар бораи Ҳабре мақолаҳои зиёде мавҷуданд, ки ба системаи амалиётии Qubes бахшида шудаанд ва онҳое, ки ман дидаам, таҷрибаи истифодаи онро тавсиф намекунанд. Дар зер буриш, ман умедворам, ки инро бо истифода аз мисоли истифодаи Qubes ҳамчун воситаи муҳофизат (бар зидди) муҳити Windows ислоҳ кунам ва ҳамзамон шумораи корбарони русзабони системаро ҳисоб кунам.
Чаро Qubes?
Қиссаи ба охир расидани дастгирии техникии Windows 7 ва ташвиши афзояндаи корбарон боиси зарурати ташкили кори ин ОС бо назардошти талаботи зерин гардид:
- таъмини истифодаи пурра фаъол Windows 7 бо қобилияти насб кардани навсозиҳо ва замимаҳои гуногун (аз ҷумла тавассути Интернет);
- татбиқи истиснои пурра ё интихобии мутақобилаи шабакавӣ дар асоси шартҳо (фаъолияти мустақил ва режимҳои филтркунии трафик);
- имконияти ба таври интихобӣ пайваст кардани медиа ва дастгоҳҳои ҷудошавандаро таъмин мекунанд.
Ин маҷмӯи маҳдудиятҳо корбари ба таври дақиқ омодашударо дар назар дорад, зеро маъмурияти мустақил иҷозат дода мешавад ва маҳдудиятҳо на бо бастани амалҳои эҳтимолии ӯ, балки ба истиснои хатогиҳои эҳтимолӣ ё таъсири нармафзори харобиовар алоқаманданд. Онхое. Дар модел ягон ҷинояткори дохилӣ вуҷуд надорад.
Дар ҷустуҷӯи ҳалли мо, мо зуд аз идеяи татбиқи маҳдудиятҳо бо истифода аз абзорҳои дарунсохт ё иловагии Windows даст кашидем, зеро ба таври муассир маҳдуд кардани корбар бо ҳуқуқи администратор хеле душвор аст ва ба ӯ қобилияти насб кардани барномаҳо боқӣ мемонад.
Ҳалли навбатӣ ҷудокунӣ бо истифода аз виртуализатсия буд. Воситаҳои маъруфи виртуализатсияи мизи корӣ (масалан, виртуалӣ) барои ҳалли мушкилоти амниятӣ чандон мувофиқ нестанд ва маҳдудиятҳои номбаршуда бояд аз ҷониби корбар тавассути иваз ё танзими доимии хосиятҳои мошини виртуалии меҳмон (минбаъд номида мешавад) анҷом дода шаванд. ҳамчун VM), ки хатари хатогиҳоро зиёд мекунад.
Ҳамзамон, мо таҷрибаи истифодаи Qubes-ро ҳамчун системаи мизи кории корбар доштем, аммо дар бораи устувории кор бо Windows меҳмон шубҳа доштем. Қарор дода шуд, ки версияи кунунии Qubes тафтиш карда шавад, зеро маҳдудиятҳои зикршуда ба парадигмаи ин система хеле мувофиқанд, махсусан татбиқи қолибҳои мошини виртуалӣ ва ҳамгироии визуалӣ. Минбаъд кушиш хохам кард, ки бо мисоли халли масъала мухтасар дар бораи идеяхо ва воситахои Кубес сухан ронам.
Намудҳои виртуализатсияи Xen
Qubes ба гипервизори Xen асос ёфтааст, ки функсияҳои идоракунии захираҳои протсессор, хотира ва мошинҳои виртуалиро кам мекунад. Ҳама корҳои дигар бо дастгоҳҳо дар dom0 дар асоси ядрои Linux мутамарказ шудаанд (Qubes барои dom0 тақсимоти Fedora-ро истифода мебарад).
Xen якчанд намуди виртуализатсияро дастгирӣ мекунад (ман барои меъмории Intel мисолҳо хоҳам дод, гарчанде ки Xen дигаронро дастгирӣ мекунад):
- паравиртуализатсия (PV) - реҷаи виртуализатсия бидуни истифодаи дастгирии сахтафзор, ки ба виртуализатсияи контейнерӣ шабоҳат дорад, метавонад барои системаҳои дорои ядрои мутобиқшуда истифода шавад (dom0 дар ин режим кор мекунад);
- виртуализатсияи пурра (HVM) - дар ин режим, дастгирии сахтафзор барои захираҳои протсессор истифода мешавад ва ҳама таҷҳизоти дигар бо истифода аз QEMU тақлид карда мешаванд. Ин универсалтарин роҳи идора кардани системаҳои гуногуни оператсионӣ мебошад;
- паравиртуализатсияи сахтафзор (PVH - ParaVirtualized Hardware) - реҷаи виртуализатсия бо истифода аз дастгирии сахтафзор, вақте ки барои кор бо сахтафзор ядрои системаи меҳмон драйверҳоеро истифода мебарад, ки ба имкониятҳои гипервизор мутобиқ карда шудаанд (масалан, хотираи муштарак), ки зарурати эмуляцияи QEMU-ро аз байн мебарад. ва баланд бардоштани самаранокии воридот. Ядрои Linux аз 4.11 сар карда метавонад дар ин реҷа кор кунад.
Аз Qubes 4.0 сар карда, бо сабабҳои амниятӣ, истифодаи реҷаи паравиртуализатсия тарк карда мешавад (аз ҷумла бо сабаби осебпазирии маълум дар меъмории Intel, ки бо истифодаи виртуализатсияи пурра қисман кам карда мешавад); Ҳолати PVH ба таври нобаёнӣ истифода мешавад.
Ҳангоми истифодаи эмулятсия (режими HVM), QEMU дар VM-и ҷудошуда бо номи stubdomain оғоз карда мешавад ва ба ин васила хатари истифодаи хатогиҳои эҳтимолиро дар амалисозӣ коҳиш медиҳад (лоиҳаи QEMU рамзи зиёде дорад, аз ҷумла барои мувофиқат).
Дар ҳолати мо, ин режим бояд барои Windows истифода шавад.
Хизматрасонии мошинҳои виртуалӣ
Дар меъмории амнияти Qubes, яке аз қобилиятҳои калидии гипервизор интиқоли дастгоҳҳои PCI ба муҳити меҳмон мебошад. Истиснои сахтафзор ба шумо имкон медиҳад, ки қисми асосии системаро аз ҳамлаҳои беруна ҷудо кунед. Xen инро барои режимҳои PV ва HVM дастгирӣ мекунад, дар ҳолати дуюм он дастгирии IOMMU (Intel VT-d) - идоракунии хотираи сахтафзор барои дастгоҳҳои виртуализатсияро талаб мекунад.
Ин якчанд мошинҳои виртуалии системаро эҷод мекунад:
- sys-net, ки ба он дастгоҳҳои шабакавӣ интиқол дода мешаванд ва ҳамчун пул барои дигар VMҳо истифода мешаванд, масалан, онҳое, ки функсияҳои брандмауэр ё муштарии VPN-ро амалӣ мекунанд;
- sys-usb, ки ба он USB ва дигар контроллерҳои дастгоҳи периферӣ интиқол дода мешаванд;
- sys-firewall, ки дастгоҳҳоро истифода намебарад, аммо ҳамчун девор барои VM-ҳои пайвастшуда кор мекунад.
Барои кор бо дастгоҳҳои USB хидматҳои прокси истифода мешаванд, ки дар байни чизҳои дигар:
- барои синфи дастгоҳи HID (дастгоҳи интерфейси инсон), фиристодани фармонҳо ба dom0;
- барои васоити ҷудошаванда, интиқоли ҳаҷми дастгоҳ ба дигар VM (ба истиснои dom0);
- масир мустақиман ба дастгоҳи USB (бо истифода аз USBIP ва абзорҳои ҳамгироӣ).
Дар чунин конфигуратсия, ҳамлаи бомуваффақият тавассути стеки шабака ё дастгоҳҳои пайвастшуда метавонад ба созиши танҳо хидматрасонии VM оварда расонад, на тамоми система. Ва пас аз аз нав оғоз кардани хидмати VM, он дар ҳолати аслии худ бор карда мешавад.
Воситаҳои ҳамгироии VM
Якчанд роҳҳо барои ҳамкорӣ бо мизи кории мошини виртуалӣ мавҷуданд - насб кардани барномаҳо дар системаи меҳмонон ё тақлид кардани видео бо истифода аз абзорҳои виртуализатсия. Барномаҳои меҳмонон метавонанд асбобҳои гуногуни дастрасии дурдаст (RDP, VNC, Spice ва ғайра) бошанд ё ба гипервизори мушаххас мутобиқ карда шаванд (ин гуна асбобҳо одатан утилитаҳои меҳмон номида мешаванд). Варианти омехтаро инчунин метавон истифода бурд, вақте ки гипервизор барои системаи меҳмонони I/O тақлид мекунад ва берун аз он қобилияти истифодаи протоколеро, ки I/O-ро муттаҳид мекунад, масалан, ба монанди Spice таъмин мекунад. Дар айни замон, воситаҳои дастрасии дурдаст одатан тасвирро оптимизатсия мекунанд, зеро онҳо кор тавассути шабакаро дар бар мегиранд, ки ба сифати тасвир таъсири мусбӣ намерасонанд.
Qubes асбобҳои худро барои ҳамгироии VM таъмин мекунад. Пеш аз ҳама, ин зерсистемаи графикӣ аст - тирезаҳои VM-ҳои гуногун дар як мизи корӣ бо чаҳорчӯбаи рангии худ намоиш дода мешаванд. Умуман, асбобҳои ҳамгироӣ ба имкониятҳои гипервизор асос ёфтаанд - хотираи муштарак (ҷадвали грантии Xen), асбобҳои огоҳӣ (канали рӯйдодҳои Xen), xenstore нигаҳдории муштарак ва протоколи алоқаи vchan. Бо кӯмаки онҳо ҷузъҳои асосии qrexec ва qubes-rpc ва хидматҳои барномавӣ амалӣ карда мешаванд - самти аудио ё USB, интиқоли файлҳо ё мундариҷаи буфер, иҷрои фармонҳо ва оғози барномаҳо. Муқаррар кардани сиёсатҳое, ки ба шумо имкон медиҳанд, ки хидматҳои дар VM мавҷудбударо маҳдуд кунед. Тасвири зер намунаи тартиби оғоз кардани ҳамкории ду VM мебошад.
Ҳамин тариқ, кор дар VM бидуни истифодаи шабака анҷом дода мешавад, ки имкон медиҳад истифодаи пурраи VM-ҳои автономӣ барои пешгирӣ аз ихроҷи иттилоот. Масалан, ҳамин тавр ҷудокунии амалиёти криптографӣ (PGP/SSH) амалӣ карда мешавад, вақте ки калидҳои хусусӣ дар VM-ҳои ҷудогона истифода мешаванд ва аз онҳо берун намераванд.
Шаблонҳо, барномаҳо ва VM-ҳои яквақта
Ҳама кори корбар дар Qubes дар мошинҳои виртуалӣ анҷом дода мешавад. Системаи асосии мизбон барои назорат ва дидани онҳо истифода мешавад. OS дар якҷоягӣ бо маҷмӯи асосии мошинҳои виртуалии ба қолаб асосёфта (TemplateVM) насб карда мешавад. Ин қолаб як Linux VM аст, ки бар тақсимоти Fedora ё Debian асос ёфтааст, бо абзорҳои ҳамгироӣ насб ва конфигуратсияшуда ва қисмҳои ҷудошудаи система ва корбар. Насб ва навсозии нармафзор аз ҷониби мудири бастаи стандартӣ (dnf ё apt) аз анбори конфигуратсияшуда бо санҷиши ҳатмии имзои рақамӣ (GnuPG) амалӣ карда мешавад. Мақсади чунин VMҳо таъмини эътимод ба VM-ҳои замимавӣ, ки дар асоси онҳо оғоз шудаанд, мебошад.
Ҳангоми оғозёбӣ, барномаи VM (AppVM) акси қисмати системаи қолаби мувофиқи VM-ро истифода мебарад ва пас аз ба итмом расидан ин аксро бе нигоҳ доштани тағирот нест мекунад. Маълумоте, ки аз ҷониби корбар талаб карда мешавад, дар қисмати корбар барои ҳар як замимаи VM, ки дар феҳристи хонагӣ насб шудааст, нигоҳ дошта мешавад.
Истифодаи VM-ҳои якдафъаина (disposableVM) метавонад аз нуқтаи назари амният муфид бошад. Чунин VM дар асоси шаблон ҳангоми оғозёбӣ сохта мешавад ва барои як мақсад - иҷрои як барнома, анҷом додани кор пас аз баста шудани он ба кор андохта мешавад. VM-ҳои якдафъаинаро барои кушодани файлҳои шубҳанок истифода бурдан мумкин аст, ки мундариҷаи онҳо метавонад ба истифодаи осебпазириҳои мушаххаси барнома оварда расонад. Қобилияти кор кардани VM-и якдафъаина ба мудири файл (Nautilus) ва муштарии почтаи электронӣ (Thunderbird) муттаҳид карда шудааст.
Windows VM инчунин метавонад барои сохтани қолаб ва VM-и якдафъаина тавассути интиқоли профили корбар ба бахши алоҳида истифода шавад. Дар версияи мо, чунин қолаб аз ҷониби корбар барои вазифаҳои маъмурӣ ва насби барнома истифода мешавад. Дар асоси қолаб, якчанд VM-ҳои барномавӣ эҷод карда мешаванд - бо дастрасии маҳдуд ба шабака (имкониятҳои стандартии системаҳои брандмауэр) ва умуман бидуни дастрасӣ ба шабака (дастгоҳи шабакаи виртуалӣ сохта нашудааст). Ҳама тағиротҳо ва замимаҳои дар қолаб насбшуда барои кор дар ин VMҳо дастрас хоҳанд буд ва ҳатто агар барномаҳои хатчӯб ҷорӣ карда шаванд ҳам, онҳо дастрасии шабакаро барои созиш надоранд.
Барои Windows мубориза баред
Хусусиятҳои дар боло тавсифшуда асоси Qubes мебошанд ва хеле устувор кор мекунанд; мушкилот аз Windows оғоз мешаванд. Барои интегратсияи Windows, шумо бояд маҷмӯи асбобҳои меҳмононро истифода баред Qubes Windows Tools (QWT), ки драйверҳоро барои кор бо Xen, драйвери qvideo ва маҷмӯи утилитаҳо барои мубодилаи иттилоот (интиқоли файл, буфер) дар бар мегирад. Раванди насб ва конфигуратсия дар вебсайти лоиҳа ба таври муфассал ҳуҷҷатгузорӣ шудааст, аз ин рӯ мо таҷрибаи татбиқи худро мубодила хоҳем кард.
Мушкилоти асосӣ аслан набудани дастгирӣ барои асбобҳои таҳияшуда мебошад. Чунин ба назар мерасад, ки таҳиягарони калидӣ (QWT) дастнорасанд ва лоиҳаи ҳамгироии Windows мунтазири таҳиягари пешбар аст. Бинобар ин, пеш аз хама, ба кори он бахо додан ва дар мавриди имкони-яти мустакилона дастгирй кардани он, агар зарур бошад, фахмо ташаккул додан лозим буд. Душвортарин барои таҳия ва ислоҳ кардани хатогиҳо драйвери графикӣ мебошад, ки ба адаптери видео тақлид мекунад ва барои тавлиди тасвир дар хотираи муштарак, ба шумо имкон медиҳад, ки тамоми мизи корӣ ё равзанаи барномаро мустақиман дар равзанаи системаи ҳост намоиш диҳед. Ҳангоми таҳлили кори ронанда, мо кодро барои васлкунӣ дар муҳити Linux мутобиқ кардем ва схемаи ислоҳро байни ду системаи меҳмонони Windows кор кардем. Дар марҳилаи crossbuild, мо якчанд тағирот ворид кардем, ки чизҳоро барои мо содда карданд, асосан дар робита бо насби "хомуш" -и коммуналӣ ва инчунин таназзули озори кор ҳангоми кор дар VM барои муддати тӯлонӣ бартараф карда шуданд. Мо натичахои корро дар алохида пешниход кардем , аз ин рӯ, муддати тӯлонӣ нест Таҳиягари пешбари Qubes.
Марҳилаи муҳимтарин дар робита ба устувории системаи меҳмонон ин оғози Windows мебошад, дар ин ҷо шумо метавонед экрани кабуди шиносро бинед (ё ҳатто онро намебинед). Барои аксари хатогиҳои муайяншуда, роҳҳои ҳалли гуногун вуҷуд доштанд - аз байн бурдани драйверҳои дастгоҳи блоки Xen, ғайрифаъол кардани тавозуни хотираи VM, ислоҳ кардани танзимоти шабака ва кам кардани шумораи ядроҳо. Асбобҳои меҳмонони мо дар Windows 7 ва Windows 10 (ба истиснои qvideo) пурра навсозӣшуда насб ва кор мекунанд.
Ҳангоми гузаштан аз муҳити воқеӣ ба муҳити маҷозӣ, ҳангоми фаъолсозии Windows мушкилот ба миён меояд, агар версияҳои OEM қаблан насбшуда истифода шаванд. Чунин системаҳо фаъолкуниро дар асоси иҷозатномаҳое, ки дар UEFI-и дастгоҳ нишон дода шудаанд, истифода мебаранд. Барои дуруст коркарди фаъолсозӣ, яке аз тамоми бахшҳои ACPI-и системаи ҳост (ҷадвали SLIC) ба системаи меҳмонон тарҷума карда, дигаронро каме таҳрир карда, истеҳсолкунандаро ба қайд гирифтан лозим аст. Xen ба шумо имкон медиҳад, ки мундариҷаи ACPI-и ҷадвалҳои иловагиро танзим кунед, аммо бидуни тағир додани ҷадвалҳои асосӣ. Ямоқи як лоиҳаи шабеҳи OpenXT, ки барои Qubes мутобиқ карда шудааст, дар ҳалли мушкилот кӯмак кард. Ислоҳҳо на танҳо барои мо муфид менамуданд ва онҳо ба анбори асосии Qubes ва китобхонаи Libvirt тарҷума шудаанд.
Камбудиҳои ошкори воситаҳои ҳамгироии Windows иборатанд аз набудани дастгирии аудио, дастгоҳҳои USB ва мураккабии кор бо ВАО, зеро барои GPU дастгирии сахтафзор мавҷуд нест. Аммо гуфтаҳои дар боло зикршуда истифодаи VM-ро барои кор бо ҳуҷҷатҳои офисӣ монеъ намесозанд ва инчунин ба роҳандозии барномаҳои мушаххаси корпоративӣ монеъ намешавад.
Талаботи гузаштан ба реҷаи корӣ бидуни шабака ё шабакаи маҳдуд пас аз эҷоди қолаби Windows VM тавассути эҷоди конфигуратсияҳои мувофиқи VM-ҳои барномавӣ иҷро карда шуд ва имкони ба таври интихобӣ пайваст кардани васоити ҷудошаванда инчунин тавассути асбобҳои стандартии OS - ҳангоми пайвастшавӣ ҳал карда шуд. , онҳо дар системаи VM sys-usb дастрасанд, ки аз он ҷо онҳо метавонанд ба VM-и зарурӣ "фиристанд". Мизи кории корбар чунин менамояд.
Варианти ниҳоии система аз ҷониби корбарон мусбат пазируфта шуд (то ҷое ки чунин ҳалли ҳамаҷониба имкон медиҳад) ва асбобҳои стандартии система имкон доданд, ки замима ба истгоҳи мобилии корбар бо дастрасӣ тавассути VPN васеъ карда шавад.
Ба ҷои хулоса
Виртуализатсия дар маҷмӯъ ба шумо имкон медиҳад, ки хатари истифодаи системаҳои Windows, ки бе дастгирӣ мондаанд, кам кунед - он мутобиқатро бо сахтафзори нав маҷбур намекунад, ба шумо имкон медиҳад, ки дастрасӣ ба системаро тавассути шабака ё дастгоҳҳои пайвастшуда истисно ё назорат кунед ва ба шумо имкон медиҳад, ки муҳити якдафъаинаро ҷорӣ кунед.
Дар асоси идеяи ҷудошавӣ тавассути виртуализатсия, Qubes OS ба шумо кӯмак мекунад, ки ин ва дигар механизмҳоро барои амният истифода баред. Аз берун, бисёриҳо Кубесро пеш аз ҳама ҳамчун хоҳиши ифшои номаълум мебинанд, аммо он ҳам барои муҳандисон, ки аксар вақт лоиҳаҳо, инфрасохторҳо ва асрорро барои дастрасӣ ба онҳо ва ҳам барои муҳаққиқони амният ҳалқа мекунанд, як системаи муфид аст. Ҷудо кардани барномаҳо, додаҳо ва ба расмият даровардани ҳамкории онҳо қадамҳои ибтидоии таҳлили таҳдидҳо ва тарҳрезии системаи амният мебошанд. Ин ҷудокунӣ ба сохтори иттилоот ва кам кардани эҳтимолияти хатогиҳо аз омили инсонӣ - шитоб, хастагӣ ва ғайра мусоидат мекунад.
Дар айни замон, таваҷҷӯҳи асосӣ дар таҳия ба васеъ кардани функсияҳои муҳитҳои Linux мебошад. Версияи 4.1 барои баровардан омода карда мешавад, ки он ба Fedora 31 асос меёбад ва версияҳои ҷории ҷузъҳои асосии Xen ва Libvirt-ро дар бар мегирад. Қобили зикр аст, ки Qubes аз ҷониби мутахассисони амнияти иттилоотӣ сохта шудааст, ки дар сурати ошкор шудани таҳдидҳо ё хатогиҳои нав ҳамеша навсозиҳои фаврӣ нашр мекунанд.
Пас аз он
Яке аз қобилиятҳои таҷрибавӣ, ки мо таҳия карда истодаем, ба мо имкон медиҳад, ки VM-ҳоро бо дастгирии дастрасии меҳмонон ба GPU дар асоси технологияи Intel GVT-g созем, ки ба мо имкон медиҳад, ки имкониятҳои адаптери графикиро истифода барем ва доираи системаро ба таври назаррас васеъ кунем. Дар замони навиштан, ин функсия барои сохтани санҷиши Qubes 4.1 кор мекунад ва дар он дастрас аст .
Манбаъ: will.com