โปรโฮสต์ > การใช้ QubesOS เพื่อทำงานร่วมกับ Windows 7

การใช้ QubesOS เพื่อทำงานร่วมกับ Windows 7

มีบทความไม่มากนักเกี่ยวกับ Habré เกี่ยวกับระบบปฏิบัติการ Qubes และบทความที่ฉันได้เห็นก็ไม่ได้บรรยายถึงประสบการณ์การใช้งานมากนัก ฉันหวังว่าจะแก้ไขปัญหานี้โดยใช้ตัวอย่างการใช้ Qubes เป็นวิธีการป้องกัน (ต่อ) สภาพแวดล้อม Windows และในเวลาเดียวกันก็ประเมินจำนวนผู้ใช้ระบบที่พูดภาษารัสเซีย

การใช้ QubesOS เพื่อทำงานร่วมกับ Windows 7

ทำไมต้องคิวเบส?

เรื่องราวของการสิ้นสุดการสนับสนุนทางเทคนิคสำหรับ Windows 7 และความวิตกกังวลที่เพิ่มขึ้นของผู้ใช้ทำให้จำเป็นต้องจัดระเบียบการทำงานของระบบปฏิบัติการนี้โดยคำนึงถึงข้อกำหนดดังต่อไปนี้:

  • ตรวจสอบการใช้ Windows 7 ที่เปิดใช้งานอย่างสมบูรณ์พร้อมความสามารถสำหรับผู้ใช้ในการติดตั้งการอัปเดตและแอปพลิเคชันต่าง ๆ (รวมถึงผ่านทางอินเทอร์เน็ต)
  • ใช้การยกเว้นการโต้ตอบเครือข่ายโดยสมบูรณ์หรือแบบเลือกตามเงื่อนไข (การทำงานอัตโนมัติและโหมดการกรองการรับส่งข้อมูล)
  • ให้ความสามารถในการเลือกเชื่อมต่อสื่อและอุปกรณ์แบบถอดได้

ข้อจำกัดชุดนี้ถือว่าผู้ใช้เตรียมพร้อมอย่างชัดเจน เนื่องจากอนุญาตให้มีการดูแลระบบอิสระ และข้อจำกัดไม่เกี่ยวข้องกับการบล็อกการกระทำที่อาจเกิดขึ้น แต่เป็นการยกเว้นข้อผิดพลาดที่เป็นไปได้หรือผลกระทบของซอฟต์แวร์ทำลายล้าง เหล่านั้น. ไม่มีผู้กระทำผิดภายในในโมเดล

ในการค้นหาวิธีแก้ปัญหา เราได้ละทิ้งแนวคิดในการใช้ข้อจำกัดโดยใช้เครื่องมือ Windows ในตัวหรือเพิ่มเติมอย่างรวดเร็ว เนื่องจากเป็นการยากที่จะจำกัดผู้ใช้ด้วยสิทธิ์ของผู้ดูแลระบบอย่างมีประสิทธิภาพ ทำให้เขาสามารถติดตั้งแอปพลิเคชันได้

แนวทางแก้ไขถัดไปคือการแยกโดยใช้การจำลองเสมือน เครื่องมือที่รู้จักกันดีสำหรับการจำลองเสมือนบนเดสก์ท็อป (เช่น virtualbox) ไม่เหมาะอย่างยิ่งสำหรับการแก้ปัญหาด้านความปลอดภัย และผู้ใช้จะต้องปฏิบัติตามข้อจำกัดที่ระบุไว้โดยการสลับหรือปรับคุณสมบัติของเครื่องเสมือนของแขกอย่างต่อเนื่อง (ต่อไปนี้จะเรียกว่า เป็น VM) ซึ่งจะเพิ่มความเสี่ยงต่อการเกิดข้อผิดพลาด

ในเวลาเดียวกัน เรามีประสบการณ์ในการใช้ Qubes เป็นระบบเดสก์ท็อปของผู้ใช้ แต่มีข้อสงสัยเกี่ยวกับความเสถียรในการทำงานกับ Guest Windows มีการตัดสินใจที่จะตรวจสอบเวอร์ชันปัจจุบันของ Qubes เนื่องจากข้อจำกัดที่ระบุไว้สอดคล้องกับกระบวนทัศน์ของระบบนี้เป็นอย่างดี โดยเฉพาะอย่างยิ่งการใช้งานเทมเพลตเครื่องเสมือนและการรวมภาพ ต่อไปฉันจะพยายามพูดสั้น ๆ เกี่ยวกับแนวคิดและเครื่องมือของ Qubes โดยใช้ตัวอย่างการแก้ปัญหา

ประเภทของการจำลองเสมือน Xen

Qubes ใช้ Xen Hypervisor ซึ่งลดฟังก์ชันในการจัดการทรัพยากรโปรเซสเซอร์ หน่วยความจำ และเครื่องเสมือน งานอื่นๆ ทั้งหมดกับอุปกรณ์นั้นเน้นไปที่ dom0 โดยใช้เคอร์เนล Linux (Qubes สำหรับ dom0 ใช้การกระจายของ Fedora)

การใช้ QubesOS เพื่อทำงานร่วมกับ Windows 7

Xen รองรับการจำลองเสมือนหลายประเภท (ฉันจะยกตัวอย่างสำหรับสถาปัตยกรรม Intel แม้ว่า Xen จะรองรับประเภทอื่น):

  • paravirtualization (PV) - โหมดการจำลองเสมือนโดยไม่ต้องใช้การสนับสนุนฮาร์ดแวร์ซึ่งชวนให้นึกถึงการจำลองเสมือนของคอนเทนเนอร์สามารถใช้สำหรับระบบที่มีเคอร์เนลที่ดัดแปลง (dom0 ทำงานในโหมดนี้)
  • การจำลองเสมือนแบบเต็ม (HVM) - ในโหมดนี้ การสนับสนุนฮาร์ดแวร์จะใช้สำหรับทรัพยากรโปรเซสเซอร์ และอุปกรณ์อื่น ๆ ทั้งหมดจะถูกจำลองโดยใช้ QEMU นี่เป็นวิธีสากลที่สุดในการรันระบบปฏิบัติการต่างๆ
  • paravirtualization ของฮาร์ดแวร์ (PVH - ParaVirtualized Hardware) - โหมดการจำลองเสมือนโดยใช้การสนับสนุนฮาร์ดแวร์เมื่อทำงานกับฮาร์ดแวร์เคอร์เนลระบบเกสต์ใช้ไดรเวอร์ที่ปรับให้เข้ากับความสามารถของไฮเปอร์ไวเซอร์ (เช่น หน่วยความจำที่ใช้ร่วมกัน) ซึ่งช่วยลดความจำเป็นในการจำลอง QEMU และเพิ่มประสิทธิภาพ I/O เคอร์เนล Linux เริ่มต้นจาก 4.11 สามารถทำงานได้ในโหมดนี้

การใช้ QubesOS เพื่อทำงานร่วมกับ Windows 7

เริ่มต้นด้วย Qubes 4.0 ด้วยเหตุผลด้านความปลอดภัย จึงละทิ้งการใช้โหมด paravirtualization (รวมถึงเนื่องจากช่องโหว่ที่ทราบในสถาปัตยกรรม Intel ซึ่งบรรเทาลงบางส่วนด้วยการใช้การจำลองเสมือนเต็มรูปแบบ) โหมด PVH จะถูกใช้เป็นค่าเริ่มต้น

เมื่อใช้การจำลอง (โหมด HVM) QEMU จะเปิดตัวใน VM แบบแยกส่วนที่เรียกว่า stubdomain ซึ่งช่วยลดความเสี่ยงในการหาประโยชน์จากข้อผิดพลาดที่อาจเกิดขึ้นในการใช้งาน (โปรเจ็กต์ QEMU มีโค้ดจำนวนมาก รวมถึงความเข้ากันได้ด้วย)
ในกรณีของเรา ควรใช้โหมดนี้กับ Windows

บริการเครื่องเสมือน

ในสถาปัตยกรรมความปลอดภัยของ Qubes ความสามารถหลักประการหนึ่งของไฮเปอร์ไวเซอร์คือการถ่ายโอนอุปกรณ์ PCI ไปยังสภาพแวดล้อมของแขก การแยกฮาร์ดแวร์ทำให้คุณสามารถแยกส่วนโฮสต์ของระบบออกจากการโจมตีภายนอกได้ Xen รองรับสิ่งนี้สำหรับโหมด PV และ HVM ในกรณีที่สองจำเป็นต้องรองรับ IOMMU (Intel VT-d) - การจัดการหน่วยความจำฮาร์ดแวร์สำหรับอุปกรณ์เสมือนจริง

สิ่งนี้จะสร้างเครื่องเสมือนหลายระบบ:

  • sys-net ซึ่งอุปกรณ์เครือข่ายถูกถ่ายโอนไปยังและใช้เป็นบริดจ์สำหรับ VM อื่น ๆ ตัวอย่างเช่นอุปกรณ์ที่ใช้ฟังก์ชันของไฟร์วอลล์หรือไคลเอนต์ VPN
  • sys-usb ซึ่งถ่ายโอน USB และตัวควบคุมอุปกรณ์ต่อพ่วงอื่น ๆ ไปยัง
  • sys-firewall ซึ่งไม่ได้ใช้อุปกรณ์ แต่ทำงานเป็นไฟร์วอลล์สำหรับ VM ที่เชื่อมต่อ

ในการทำงานกับอุปกรณ์ USB จะมีการใช้บริการพร็อกซีซึ่งมีเหนือสิ่งอื่นใด:

  • สำหรับคลาสอุปกรณ์ HID (อุปกรณ์อินเทอร์เฟซของมนุษย์) การส่งคำสั่งไปที่ dom0;
  • สำหรับสื่อแบบถอดได้ การเปลี่ยนเส้นทางวอลุ่มอุปกรณ์ไปยัง VM อื่น (ยกเว้น dom0)
  • เปลี่ยนเส้นทางโดยตรงไปยังอุปกรณ์ USB (โดยใช้ USBIP และเครื่องมือบูรณาการ)

ในการกำหนดค่าดังกล่าว การโจมตีที่ประสบความสำเร็จผ่านสแต็กเครือข่ายหรืออุปกรณ์ที่เชื่อมต่อสามารถนำไปสู่การประนีประนอมเฉพาะบริการ VM ที่ทำงานอยู่เท่านั้น ไม่ใช่ทั้งระบบโดยรวม และหลังจากรีสตาร์ทบริการ VM แล้ว จะถูกโหลดในสถานะดั้งเดิม

เครื่องมือการรวม VM

มีหลายวิธีในการโต้ตอบกับเดสก์ท็อปของเครื่องเสมือน - การติดตั้งแอปพลิเคชันในระบบเกสต์หรือการจำลองวิดีโอโดยใช้เครื่องมือการจำลองเสมือน แอปพลิเคชันของแขกอาจเป็นเครื่องมือการเข้าถึงระยะไกลแบบสากล (RDP, VNC, Spice ฯลฯ ) หรือปรับให้เข้ากับไฮเปอร์ไวเซอร์เฉพาะ (เครื่องมือดังกล่าวมักเรียกว่ายูทิลิตี้ของแขก) ตัวเลือกแบบผสมยังสามารถใช้ได้ เมื่อไฮเปอร์ไวเซอร์จำลอง I/O สำหรับระบบเกสต์ และให้ความสามารถในการใช้โปรโตคอลจากภายนอกที่รวม I/O เช่น Spice ในเวลาเดียวกัน เครื่องมือการเข้าถึงระยะไกลมักจะปรับภาพให้เหมาะสม เนื่องจากเกี่ยวข้องกับการทำงานผ่านเครือข่าย ซึ่งไม่มีผลดีต่อคุณภาพของภาพ

Qubes มีเครื่องมือของตัวเองสำหรับการบูรณาการ VM ก่อนอื่นนี่คือระบบย่อยกราฟิก - หน้าต่างจาก VM ที่แตกต่างกันจะแสดงบนเดสก์ท็อปเครื่องเดียวพร้อมกรอบสีของตัวเอง โดยทั่วไป เครื่องมือการรวมจะขึ้นอยู่กับความสามารถของไฮเปอร์ไวเซอร์ - หน่วยความจำที่ใช้ร่วมกัน (ตาราง Xen Grant), เครื่องมือการแจ้งเตือน (ช่องทางเหตุการณ์ Xen), xenstore ที่เก็บข้อมูลที่ใช้ร่วมกัน และโปรโตคอลการสื่อสาร vchan ด้วยความช่วยเหลือของพวกเขา ส่วนประกอบพื้นฐาน qrexec และ qubes-rpc และบริการแอปพลิเคชันได้ถูกนำมาใช้ - การเปลี่ยนเส้นทางเสียงหรือ USB การถ่ายโอนไฟล์หรือเนื้อหาคลิปบอร์ด การดำเนินการคำสั่งและการเรียกใช้แอปพลิเคชัน คุณสามารถกำหนดนโยบายที่อนุญาตให้คุณจำกัดบริการที่มีอยู่บน VM ได้ รูปด้านล่างเป็นตัวอย่างของขั้นตอนในการเริ่มต้นการโต้ตอบของ VM สองตัว

การใช้ QubesOS เพื่อทำงานร่วมกับ Windows 7

ดังนั้นการทำงานใน VM จึงดำเนินการโดยไม่ต้องใช้เครือข่าย ซึ่งช่วยให้สามารถใช้ VM แบบอัตโนมัติได้อย่างเต็มที่ เพื่อหลีกเลี่ยงการรั่วไหลของข้อมูล ตัวอย่างเช่น นี่คือวิธีการใช้การแยกการดำเนินการเข้ารหัสลับ (PGP/SSH) เมื่อมีการใช้คีย์ส่วนตัวใน VM ที่แยกออกมาและไม่ได้ไปไกลกว่านั้น

เทมเพลต แอปพลิเคชัน และ VM แบบครั้งเดียว

งานของผู้ใช้ทั้งหมดใน Qubes เสร็จสิ้นในเครื่องเสมือน ระบบโฮสต์หลักใช้เพื่อควบคุมและแสดงภาพ ระบบปฏิบัติการได้รับการติดตั้งพร้อมกับชุดพื้นฐานของเครื่องเสมือนที่ใช้เทมเพลต (TemplateVM) เทมเพลตนี้เป็น Linux VM ที่ใช้การแจกจ่าย Fedora หรือ Debian พร้อมติดตั้งและกำหนดค่าเครื่องมือบูรณาการ และระบบเฉพาะและพาร์ติชันผู้ใช้ การติดตั้งและการอัปเดตซอฟต์แวร์ดำเนินการโดยตัวจัดการแพ็คเกจมาตรฐาน (dnf หรือ apt) จากที่เก็บที่กำหนดค่าพร้อมการตรวจสอบลายเซ็นดิจิทัล (GnuPG) วัตถุประสงค์ของ VM ดังกล่าวคือเพื่อให้มั่นใจในความน่าเชื่อถือใน VM ของแอปพลิเคชันที่เปิดตัวบนพื้นฐานของพวกเขา

เมื่อเริ่มต้น แอปพลิเคชัน VM (AppVM) จะใช้สแน็ปช็อตของพาร์ติชันระบบของเทมเพลต VM ที่เกี่ยวข้อง และเมื่อเสร็จสิ้นจะลบสแน็ปช็อตนี้โดยไม่บันทึกการเปลี่ยนแปลง ข้อมูลที่ผู้ใช้ต้องการจะถูกจัดเก็บไว้ในพาร์ติชันผู้ใช้ที่ไม่ซ้ำกันสำหรับแต่ละแอปพลิเคชัน VM ซึ่งติดตั้งอยู่ในโฮมไดเร็กทอรี

การใช้ QubesOS เพื่อทำงานร่วมกับ Windows 7

การใช้ VM แบบใช้แล้วทิ้ง (disposableVM) อาจมีประโยชน์จากมุมมองด้านความปลอดภัย VM ดังกล่าวถูกสร้างขึ้นตามเทมเพลต ณ เวลาที่เริ่มต้นและเปิดตัวเพื่อจุดประสงค์เดียว - เพื่อรันแอปพลิเคชันเดียวโดยทำงานให้เสร็จหลังจากปิด สามารถใช้ VM แบบใช้แล้วทิ้งเพื่อเปิดไฟล์ที่น่าสงสัยซึ่งมีเนื้อหาที่อาจนำไปสู่การใช้ประโยชน์จากช่องโหว่ของแอปพลิเคชันเฉพาะ ความสามารถในการเรียกใช้ VM แบบครั้งเดียวถูกรวมเข้ากับตัวจัดการไฟล์ (Nautilus) และไคลเอนต์อีเมล (Thunderbird)

Windows VM ยังสามารถใช้เพื่อสร้างเทมเพลตและ VM แบบครั้งเดียวโดยการย้ายโปรไฟล์ผู้ใช้ไปยังส่วนที่แยกต่างหาก ในเวอร์ชันของเรา ผู้ใช้จะใช้เทมเพลตดังกล่าวสำหรับงานการดูแลระบบและการติดตั้งแอปพลิเคชัน ตามเทมเพลตนั้น แอปพลิเคชัน VM หลายตัวจะถูกสร้างขึ้นโดยมีการจำกัดการเข้าถึงเครือข่าย (ความสามารถระบบซิส-ไฟร์วอลล์มาตรฐาน) และไม่มีการเข้าถึงเครือข่ายเลย (ไม่ได้สร้างอุปกรณ์เครือข่ายเสมือน) การเปลี่ยนแปลงและแอปพลิเคชันทั้งหมดที่ติดตั้งในเทมเพลตจะพร้อมใช้งานใน VM เหล่านี้ และแม้ว่าจะมีการแนะนำโปรแกรมบุ๊กมาร์ก แต่ก็จะไม่สามารถเข้าถึงเครือข่ายเพื่อประนีประนอมได้

ต่อสู้เพื่อวินโดวส์

คุณสมบัติที่อธิบายไว้ข้างต้นเป็นพื้นฐานของ Qubes และทำงานค่อนข้างเสถียร ปัญหาเริ่มต้นที่ Windows หากต้องการรวม Windows คุณต้องใช้ชุดเครื่องมือแขก Qubes Windows Tools (QWT) ซึ่งรวมถึงไดรเวอร์สำหรับการทำงานกับ Xen ไดรเวอร์ qvideo และชุดยูทิลิตี้สำหรับการแลกเปลี่ยนข้อมูล (การถ่ายโอนไฟล์คลิปบอร์ด) กระบวนการติดตั้งและกำหนดค่าได้รับการบันทึกไว้โดยละเอียดบนเว็บไซต์ของโครงการ ดังนั้นเราจะแบ่งปันประสบการณ์การใช้งานของเรา

ปัญหาหลักคือขาดการสนับสนุนสำหรับเครื่องมือที่พัฒนาขึ้น ดูเหมือนว่า Key Developers (QWT) จะไม่พร้อมใช้งาน และโครงการบูรณาการ Windows กำลังรอผู้พัฒนาหลักอยู่ ดังนั้น ประการแรก จำเป็นต้องประเมินผลการดำเนินงานและสร้างความเข้าใจถึงความเป็นไปได้ในการสนับสนุนอย่างเป็นอิสระหากจำเป็น สิ่งที่ยากที่สุดในการพัฒนาและแก้ไขข้อบกพร่องคือไดรเวอร์กราฟิก ซึ่งจำลองอะแดปเตอร์วิดีโอและจอแสดงผลเพื่อสร้างภาพในหน่วยความจำที่ใช้ร่วมกัน ช่วยให้คุณสามารถแสดงเดสก์ท็อปทั้งหมดหรือหน้าต่างแอปพลิเคชันได้โดยตรงในหน้าต่างระบบโฮสต์ ในระหว่างการวิเคราะห์การทำงานของไดรเวอร์ เราได้ปรับโค้ดสำหรับการประกอบในสภาพแวดล้อม Linux และจัดทำแผนการแก้ไขจุดบกพร่องระหว่างระบบ Windows Guest สองระบบ ในขั้นตอนการสร้างข้ามสาย เราได้ทำการเปลี่ยนแปลงหลายอย่างที่ทำให้สิ่งต่าง ๆ ง่ายขึ้นสำหรับเรา โดยหลักแล้วในแง่ของการติดตั้งยูทิลิตี้แบบ "เงียบ" และยังกำจัดการเสื่อมประสิทธิภาพที่น่ารำคาญเมื่อทำงานใน VM เป็นเวลานาน เรานำเสนอผลงานแยกกัน ที่เก็บจึงไม่นานนัก สร้างแรงบันดาลใจ หัวหน้านักพัฒนา Qubes

ขั้นตอนที่สำคัญที่สุดในแง่ของความเสถียรของระบบเกสต์คือการเริ่ม Windows ซึ่งคุณจะเห็นหน้าจอสีน้ำเงินที่คุ้นเคย (หรือมองไม่เห็นด้วยซ้ำ) สำหรับข้อผิดพลาดที่ระบุส่วนใหญ่ มีวิธีแก้ไขปัญหาต่างๆ มากมาย เช่น กำจัดไดรเวอร์อุปกรณ์บล็อก Xen, ปิดใช้งานการปรับสมดุลหน่วยความจำ VM, แก้ไขการตั้งค่าเครือข่าย และลดจำนวนคอร์ให้เหลือน้อยที่สุด เครื่องมือสำหรับแขกของเราสร้างการติดตั้งและทำงานบน Windows 7 และ Windows 10 ที่อัปเดตอย่างสมบูรณ์ (ยกเว้น qvideo)

เมื่อย้ายจากสภาพแวดล้อมจริงไปสู่สภาพแวดล้อมเสมือน จะเกิดปัญหากับการเปิดใช้งาน Windows หากใช้เวอร์ชัน OEM ที่ติดตั้งไว้ล่วงหน้า ระบบดังกล่าวใช้การเปิดใช้งานตามใบอนุญาตที่ระบุไว้ใน UEFI ของอุปกรณ์ เพื่อให้ดำเนินการเปิดใช้งานได้อย่างถูกต้อง จำเป็นต้องแปลส่วน ACPI ทั้งหมดของระบบโฮสต์ (ตาราง SLIC) เป็นระบบเกสต์ และแก้ไขส่วนอื่นๆ เล็กน้อยโดยลงทะเบียนผู้ผลิต Xen อนุญาตให้คุณปรับแต่งเนื้อหา ACPI ของตารางเพิ่มเติม แต่ไม่ต้องแก้ไขตารางหลัก แพตช์จากโปรเจ็กต์ OpenXT ที่คล้ายกันซึ่งดัดแปลงสำหรับ Qubes ช่วยแก้ปัญหาได้ การแก้ไขดูเหมือนมีประโยชน์ไม่เพียงแต่สำหรับเราเท่านั้น แต่ยังได้รับการแปลไปยังพื้นที่เก็บข้อมูลหลักของ Qubes และไลบรารี Libvirt

ข้อเสียที่ชัดเจนของเครื่องมือการรวม Windows ได้แก่ การขาดการรองรับเสียง อุปกรณ์ USB และความซับซ้อนในการทำงานกับสื่อ เนื่องจากไม่มีการรองรับฮาร์ดแวร์สำหรับ GPU แต่สิ่งที่กล่าวมาข้างต้นไม่ได้ป้องกันการใช้ VM ในการทำงานกับเอกสาร office และไม่ได้ป้องกันการเปิดตัวแอปพลิเคชันขององค์กรโดยเฉพาะ

ข้อกำหนดในการสลับไปยังโหมดการทำงานโดยไม่มีเครือข่ายหรือมีเครือข่ายที่จำกัดหลังจากสร้างเทมเพลต Windows VM นั้นได้รับการเติมเต็มโดยการสร้างการกำหนดค่าที่เหมาะสมของแอปพลิเคชัน VM และความเป็นไปได้ในการเชื่อมต่อสื่อแบบถอดได้แบบเลือกก็ได้รับการแก้ไขด้วยเครื่องมือระบบปฏิบัติการมาตรฐาน - เมื่อเชื่อมต่อ มีอยู่ในระบบ VM sys-usb จากตำแหน่งที่สามารถ "ส่งต่อ" ไปยัง VM ที่ต้องการได้ เดสก์ท็อปของผู้ใช้มีลักษณะดังนี้

การใช้ QubesOS เพื่อทำงานร่วมกับ Windows 7

เวอร์ชันสุดท้ายของระบบได้รับการยอมรับจากผู้ใช้ในเชิงบวก (เท่าที่โซลูชันที่ครอบคลุมอนุญาต) และเครื่องมือมาตรฐานของระบบทำให้สามารถขยายแอปพลิเคชันไปยังเวิร์กสเตชันมือถือของผู้ใช้ด้วยการเข้าถึงผ่าน VPN

แทนการสรุป

การจำลองเสมือนโดยทั่วไปช่วยให้คุณลดความเสี่ยงในการใช้ระบบ Windows ที่ไม่มีการสนับสนุน - ไม่บังคับให้เข้ากันได้กับฮาร์ดแวร์ใหม่ ช่วยให้คุณสามารถยกเว้นหรือควบคุมการเข้าถึงระบบผ่านเครือข่ายหรือผ่านอุปกรณ์ที่เชื่อมต่อ และช่วยให้คุณ ใช้สภาพแวดล้อมการเปิดตัวครั้งเดียว

ตามแนวคิดของการแยกผ่านการจำลองเสมือน Qubes OS ช่วยให้คุณใช้ประโยชน์จากกลไกเหล่านี้และกลไกอื่น ๆ เพื่อความปลอดภัย จากภายนอก หลายๆ คนมองว่า Qubes เป็นความปรารถนาที่จะไม่เปิดเผยตัวตนเป็นหลัก แต่มันเป็นระบบที่มีประโยชน์ทั้งสำหรับวิศวกรที่มักจะจัดการโครงการ โครงสร้างพื้นฐาน และความลับในการเข้าถึงพวกเขา และสำหรับนักวิจัยด้านความปลอดภัย การแยกแอปพลิเคชัน ข้อมูล และการโต้ตอบอย่างเป็นทางการเป็นขั้นตอนเริ่มต้นของการวิเคราะห์ภัยคุกคามและการออกแบบระบบความปลอดภัย การแยกนี้ช่วยในการจัดโครงสร้างข้อมูลและลดโอกาสที่จะเกิดข้อผิดพลาดอันเนื่องมาจากปัจจัยของมนุษย์ เช่น ความเร่งรีบ ความเหนื่อยล้า ฯลฯ

ปัจจุบันจุดเน้นหลักในการพัฒนาคือการขยายฟังก์ชันการทำงานของสภาพแวดล้อม Linux เวอร์ชัน 4.1 กำลังเตรียมพร้อมสำหรับการเปิดตัว ซึ่งจะใช้ Fedora 31 และรวมเวอร์ชันปัจจุบันขององค์ประกอบหลัก Xen และ Libvirt เป็นที่น่าสังเกตว่า Qubes ถูกสร้างขึ้นโดยผู้เชี่ยวชาญด้านความปลอดภัยของข้อมูลซึ่งจะเผยแพร่การอัปเดตทันทีเสมอหากมีการระบุภัยคุกคามหรือข้อผิดพลาดใหม่

เล่ม

หนึ่งในความสามารถทดลองที่เรากำลังพัฒนาช่วยให้เราสามารถสร้าง VM ที่รองรับการเข้าถึง GPU ของผู้เยี่ยมชมโดยใช้เทคโนโลยี Intel GVT-g ซึ่งช่วยให้เราใช้ความสามารถของอะแดปเตอร์กราฟิกและขยายขอบเขตของระบบได้อย่างมาก ในขณะที่เขียน ฟังก์ชันนี้ใช้ได้กับรุ่นทดสอบของ Qubes 4.1 และพร้อมใช้งานบน GitHub.

ที่มา: will.com

เพิ่มความคิดเห็น