ProHoster > Lilo QubesOS lati ṣiṣẹ pẹlu Windows 7

Lilo QubesOS lati ṣiṣẹ pẹlu Windows 7

Ko si ọpọlọpọ awọn nkan lori Habré ti o yasọtọ si ẹrọ ṣiṣe Qubes, ati pe awọn ti Mo ti rii ko ṣapejuwe pupọ iriri ti lilo rẹ. Ni isalẹ gige, Mo nireti lati ṣe atunṣe eyi nipa lilo apẹẹrẹ ti lilo Qubes gẹgẹbi ọna aabo (lodi si) agbegbe Windows ati, ni akoko kanna, ṣe iṣiro nọmba awọn olumulo ti o sọ Russian ti eto naa.

Lilo QubesOS lati ṣiṣẹ pẹlu Windows 7

Kí nìdí Qubes?

Itan ti ipari atilẹyin imọ-ẹrọ fun Windows 7 ati aibalẹ ti o pọ si ti awọn olumulo yori si iwulo lati ṣeto iṣẹ ti OS yii, ni akiyesi awọn ibeere wọnyi:

  • rii daju pe lilo Windows 7 ti mu ṣiṣẹ ni kikun pẹlu agbara fun olumulo lati fi awọn imudojuiwọn ati awọn ohun elo lọpọlọpọ (pẹlu nipasẹ Intanẹẹti);
  • ṣe imukuro pipe tabi yiyan ti awọn ibaraenisepo nẹtiwọọki ti o da lori awọn ipo (iṣẹ adaṣe ati awọn ipo sisẹ ijabọ);
  • pese agbara lati so awọn media yiyọ kuro ati awọn ẹrọ.

Eto awọn ihamọ yii ṣe ipinnu olumulo ti o ti pese silẹ ni kedere, nitori a gba laaye iṣakoso ominira, ati pe awọn ihamọ ko ni ibatan si didi awọn iṣe agbara rẹ, ṣugbọn si iyasoto ti awọn aṣiṣe ti o ṣeeṣe tabi awọn ipa sọfitiwia iparun. Awon. Ko si ẹlẹṣẹ inu ninu awoṣe.

Ninu wiwa wa ojutu kan, a yara kọ imọran ti imuse awọn ihamọ nipa lilo awọn irinṣẹ Windows ti a ṣe sinu tabi afikun, nitori o nira pupọ lati ni ihamọ olumulo kan ni imunadoko pẹlu awọn ẹtọ oludari, nlọ fun u ni agbara lati fi awọn ohun elo sori ẹrọ.

Ojutu ti o tẹle ni ipinya nipa lilo agbara ipa. Awọn irinṣẹ ti a mọ daradara fun adaṣe tabili tabili (fun apẹẹrẹ, gẹgẹ bi apoti foju) ko dara fun ipinnu awọn iṣoro aabo ati pe awọn ihamọ ti a ṣe akojọ yoo ni lati ṣee nipasẹ olumulo nipa yiyipada nigbagbogbo tabi ṣatunṣe awọn ohun-ini ti ẹrọ foju alejo (lẹhinna tọka si bi VM), eyi ti o mu ki awọn ewu ti awọn aṣiṣe.

Ni akoko kanna, a ni iriri nipa lilo Qubes gẹgẹbi eto tabili tabili olumulo, ṣugbọn ni iyemeji nipa iduroṣinṣin ti ṣiṣẹ pẹlu Windows alejo. O ti pinnu lati ṣayẹwo ẹya ti isiyi ti Qubes, nitori awọn idiwọn ti a sọ ni ibamu daradara si apẹrẹ ti eto yii, ni pataki imuse ti awọn awoṣe ẹrọ foju ati iṣọpọ wiwo. Nigbamii ti, Emi yoo gbiyanju lati sọrọ ni ṣoki nipa awọn imọran ati awọn irinṣẹ ti Qubes, ni lilo apẹẹrẹ ti ipinnu iṣoro naa.

Orisi ti Xen ipa

Qubes da lori hypervisor Xen, eyiti o dinku awọn iṣẹ ti iṣakoso awọn orisun ero isise, iranti ati awọn ẹrọ foju. Gbogbo awọn iṣẹ miiran pẹlu awọn ẹrọ ti wa ni idojukọ ni dom0 da lori ekuro Linux (Qubes fun dom0 nlo pinpin Fedora).

Lilo QubesOS lati ṣiṣẹ pẹlu Windows 7

Xen ṣe atilẹyin ọpọlọpọ awọn oriṣi ti agbara ipa (Emi yoo fun apẹẹrẹ fun faaji Intel, botilẹjẹpe Xen ṣe atilẹyin awọn miiran):

  • paravirtualization (PV) - ipo ipalọlọ laisi lilo atilẹyin ohun elo, ti o ṣe iranti agbara agbara eiyan, le ṣee lo fun awọn ọna ṣiṣe pẹlu ekuro ti o baamu (dom0 n ṣiṣẹ ni ipo yii);
  • agbara agbara ni kikun (HVM) - ni ipo yii, a lo atilẹyin ohun elo fun awọn orisun ero isise, ati pe gbogbo awọn ohun elo miiran jẹ apẹẹrẹ nipa lilo QEMU. Eyi ni ọna agbaye julọ lati ṣiṣe awọn ọna ṣiṣe lọpọlọpọ;
  • paravirtualization ti hardware (PVH - ParaVirtualized Hardware) - ipo agbara nipa lilo atilẹyin ohun elo nigbati, lati ṣiṣẹ pẹlu ohun elo, ekuro eto alejo nlo awọn awakọ ti o baamu si awọn agbara ti hypervisor (fun apẹẹrẹ, iranti pinpin), imukuro iwulo fun imulation QEMU ati jijẹ I / O iṣẹ. Ekuro Linux ti o bẹrẹ lati 4.11 le ṣiṣẹ ni ipo yii.

Lilo QubesOS lati ṣiṣẹ pẹlu Windows 7

Bibẹrẹ pẹlu Qubes 4.0, fun awọn idi aabo, lilo ipo paravirtualization ti kọ silẹ (pẹlu nitori awọn ailagbara ti a mọ ni faaji Intel, eyiti o dinku ni apakan nipasẹ lilo agbara agbara ni kikun); Ipo PVH jẹ lilo nipasẹ aiyipada.

Nigbati o ba lo emulation (ipo HVM), QEMU ṣe ifilọlẹ ni VM ti o ya sọtọ ti a pe ni stubdomain, nitorinaa idinku awọn eewu ti lilo awọn aṣiṣe ti o pọju ninu imuse (iṣẹ akanṣe QEMU ni ọpọlọpọ koodu, pẹlu fun ibamu).
Ninu ọran wa, ipo yii yẹ ki o lo fun Windows.

Awọn ẹrọ foju iṣẹ

Ninu ile-iṣọ aabo Qubes, ọkan ninu awọn agbara bọtini ti hypervisor ni gbigbe awọn ẹrọ PCI si agbegbe alejo. Iyasọtọ ohun elo gba ọ laaye lati ya sọtọ apakan agbalejo ti eto lati awọn ikọlu ita. Xen ṣe atilẹyin eyi fun awọn ipo PV ati HVM, ninu ọran keji o nilo atilẹyin fun IOMMU (Intel VT-d) - iṣakoso iranti hardware fun awọn ẹrọ ti o ni agbara.

Eyi ṣẹda awọn ẹrọ foju eto pupọ:

  • sys-net, eyiti awọn ẹrọ nẹtiwọọki ti gbe ati eyiti o lo bi afara fun awọn VM miiran, fun apẹẹrẹ, awọn ti o ṣe awọn iṣẹ ti ogiriina tabi alabara VPN;
  • sys-usb, eyiti USB ati awọn olutona ẹrọ agbeegbe ti gbe;
  • sys-ogiriina, eyiti ko lo awọn ẹrọ, ṣugbọn ṣiṣẹ bi ogiriina fun awọn VM ti a ti sopọ.

Lati ṣiṣẹ pẹlu awọn ẹrọ USB, awọn iṣẹ aṣoju lo, eyiti o pese, laarin awọn ohun miiran:

  • fun HID (eniyan ni wiwo ẹrọ) kilasi ẹrọ, fifiranṣẹ awọn aṣẹ si dom0;
  • fun media yiyọ kuro, atunṣe awọn iwọn ẹrọ si awọn VM miiran (ayafi fun dom0);
  • Ndarí taara si ẹrọ USB kan (lilo USBIP ati awọn irinṣẹ iṣọpọ).

Ni iru iṣeto bẹ, ikọlu aṣeyọri nipasẹ akopọ nẹtiwọọki tabi awọn ẹrọ ti a ti sopọ le ja si adehun ti VM ti nṣiṣẹ nikan, kii ṣe gbogbo eto lapapọ. Ati lẹhin ti o tun bẹrẹ VM iṣẹ naa, yoo jẹ ti kojọpọ ni ipo atilẹba rẹ.

VM Integration irinṣẹ

Awọn ọna pupọ lo wa lati ṣe ajọṣepọ pẹlu tabili tabili ti ẹrọ foju kan - fifi sori awọn ohun elo ni eto alejo tabi afarawe fidio nipa lilo awọn irinṣẹ agbara. Awọn ohun elo alejo le jẹ ọpọlọpọ awọn irinṣẹ iwọle latọna jijin gbogbo agbaye (RDP, VNC, Spice, ati bẹbẹ lọ) tabi ṣe deede si hypervisor kan pato (iru awọn irinṣẹ ni a maa n pe ni awọn ohun elo alejo). Aṣayan adalu tun le ṣee lo, nigbati hypervisor emulates I / O fun eto alejo, ati ni ita pese agbara lati lo ilana ti o dapọ I / O, fun apẹẹrẹ, bi Spice. Ni akoko kanna, awọn irinṣẹ iwọle latọna jijin nigbagbogbo mu aworan dara, nitori wọn kan ṣiṣẹ nipasẹ nẹtiwọọki kan, eyiti ko ni ipa rere lori didara aworan naa.

Qubes pese awọn irinṣẹ tirẹ fun iṣọpọ VM. Ni akọkọ, eyi jẹ eto ipilẹ awọn aworan - awọn window lati oriṣiriṣi VM ti han lori tabili ẹyọkan pẹlu fireemu awọ tiwọn. Ni gbogbogbo, awọn irinṣẹ iṣọpọ da lori awọn agbara ti hypervisor - iranti pinpin (tabili ẹbun Xen), awọn irinṣẹ iwifunni (ikanni iṣẹlẹ Xen), xenstore ipamọ pinpin ati ilana ilana ibaraẹnisọrọ vchan. Pẹlu iranlọwọ wọn, awọn ohun elo ipilẹ qrexec ati qubes-rpc, ati awọn iṣẹ ohun elo ti wa ni imuse - ohun tabi atunṣe USB, gbigbe awọn faili tabi awọn akoonu agekuru, ṣiṣe awọn aṣẹ ati awọn ohun elo ifilọlẹ. O ṣee ṣe lati ṣeto awọn eto imulo ti o gba ọ laaye lati ṣe idinwo awọn iṣẹ ti o wa lori VM kan. Nọmba ti o wa ni isalẹ jẹ apẹẹrẹ ti ilana fun ipilẹṣẹ ibaraenisepo ti awọn VM meji.

Lilo QubesOS lati ṣiṣẹ pẹlu Windows 7

Nitorinaa, iṣẹ ni VM ni a ṣe laisi lilo nẹtiwọọki kan, eyiti o fun laaye ni kikun lilo awọn VM adase lati yago fun jijo alaye. Fun apẹẹrẹ, eyi ni bi a ti ṣe imuse ipinya ti awọn iṣẹ cryptographic (PGP/SSH), nigbati awọn bọtini ikọkọ ti lo ni awọn VM ti o ya sọtọ ati pe ko lọ kọja wọn.

Awọn awoṣe, ohun elo ati awọn VM-akoko kan

Gbogbo iṣẹ olumulo ni Qubes ni a ṣe ni awọn ẹrọ foju. Eto agbalejo akọkọ ni a lo lati ṣakoso ati wo wọn. OS ti fi sori ẹrọ pẹlu eto ipilẹ ti awọn ẹrọ foju ti o da lori awoṣe (TemplateVM). Awoṣe yii jẹ Linux VM ti o da lori Fedora tabi pinpin Debian, pẹlu awọn irinṣẹ iṣọpọ ti a fi sori ẹrọ ati tunto, ati eto iyasọtọ ati awọn ipin olumulo. Fifi sori ẹrọ ati imudojuiwọn sọfitiwia ni a ṣe nipasẹ oluṣakoso package boṣewa (dnf tabi apt) lati awọn ibi ipamọ ti a tunto pẹlu ijẹrisi ibuwọlu oni nọmba dandan (GnuPG). Idi ti iru awọn VM ni lati rii daju igbẹkẹle ninu awọn ohun elo VM ti a ṣe ifilọlẹ lori ipilẹ wọn.

Ni ibẹrẹ, VM ohun elo kan (AppVM) nlo aworan ti ipin eto ti awoṣe VM ti o baamu, ati pe ni ipari yoo paarẹ aworan yii laisi fifipamọ awọn ayipada. Awọn data ti olumulo nilo ti wa ni ipamọ ni ipin olumulo alailẹgbẹ fun ohun elo VM kọọkan, eyiti o gbe sinu ilana ile.

Lilo QubesOS lati ṣiṣẹ pẹlu Windows 7

Lilo awọn VM isọnu (disposableVM) le wulo lati oju wiwo aabo. Iru VM ni a ṣẹda da lori awoṣe ni akoko ibẹrẹ ati pe o ṣe ifilọlẹ fun idi kan - lati ṣiṣẹ ohun elo kan, ipari iṣẹ lẹhin ti o ti wa ni pipade. Awọn VM isọnu le ṣee lo lati ṣii awọn faili ifura ti akoonu wọn le ja si ilokulo awọn ailagbara ohun elo kan pato. Agbara lati ṣiṣẹ VM kan-akoko kan ni a ṣepọ sinu oluṣakoso faili (Nautilus) ati alabara imeeli (Thunderbird).

Windows VM tun le ṣee lo lati ṣẹda awoṣe kan ati VM-akoko kan nipa gbigbe profaili olumulo si apakan lọtọ. Ninu ẹya wa, iru awoṣe yoo jẹ lilo nipasẹ olumulo fun awọn iṣẹ ṣiṣe iṣakoso ati fifi sori ohun elo. Da lori awoṣe, ọpọlọpọ awọn ohun elo VM yoo ṣẹda - pẹlu iraye si opin si nẹtiwọọki (awọn agbara sys-firewall boṣewa) ati laisi iraye si nẹtiwọọki rara (ohun elo nẹtiwọọki foju kan ko ṣẹda). Gbogbo awọn iyipada ati awọn ohun elo ti a fi sori ẹrọ ni awoṣe yoo wa lati ṣiṣẹ ni awọn VM wọnyi, ati paapaa ti awọn eto bukumaaki ba ti ṣafihan, wọn kii yoo ni iwọle si nẹtiwọọki fun adehun.

Ja fun Windows

Awọn ẹya ti a ṣalaye loke jẹ ipilẹ ti Qubes ati ṣiṣẹ ni iduroṣinṣin; awọn iṣoro bẹrẹ pẹlu Windows. Lati ṣepọ Windows, o gbọdọ lo ṣeto awọn irinṣẹ alejo Qubes Windows Tools (QWT), eyiti o pẹlu awọn awakọ fun ṣiṣẹ pẹlu Xen, awakọ qvideo kan ati ṣeto awọn ohun elo fun paṣipaarọ alaye (gbigbe faili, agekuru agekuru). Ilana fifi sori ẹrọ ati iṣeto ni akọsilẹ ni awọn alaye lori oju opo wẹẹbu ise agbese, nitorinaa a yoo pin iriri ohun elo wa.

Iṣoro akọkọ jẹ pataki aini atilẹyin fun awọn irinṣẹ idagbasoke. Awọn Difelopa Bọtini (QWT) han pe ko si ati pe iṣẹ iṣọpọ Windows n duro de olupilẹṣẹ oludari kan. Nitorinaa, ni akọkọ, o jẹ dandan lati ṣe iṣiro iṣẹ rẹ ati ṣe agbekalẹ oye ti o ṣeeṣe lati ṣe atilẹyin ni ominira, ti o ba jẹ dandan. O nira julọ lati dagbasoke ati yokokoro ni awakọ awọn eya aworan, eyiti o ṣe apẹẹrẹ ohun ti nmu badọgba fidio ati ifihan lati ṣe agbejade aworan kan ni iranti pinpin, gbigba ọ laaye lati ṣafihan gbogbo tabili tabili tabi window ohun elo taara ni window eto agbalejo. Lakoko itupalẹ iṣiṣẹ awakọ, a ṣe atunṣe koodu fun apejọ ni agbegbe Linux kan ati ṣiṣẹ ero n ṣatunṣe aṣiṣe laarin awọn eto alejo Windows meji. Ni ipele crossbuild, a ṣe ọpọlọpọ awọn ayipada ti o rọrun fun wa, nipataki ni awọn ofin ti fifi sori ẹrọ “ipalọlọ” ti awọn ohun elo, ati pe o tun yọkuro ibajẹ didanubi ti iṣẹ nigba ṣiṣẹ ni VM fun igba pipẹ. A ṣe afihan awọn abajade iṣẹ ni lọtọ awọn ibi ipamọ, nitorina kii ṣe fun pipẹ imoriya Asiwaju Qubes Olùgbéejáde.

Ipele to ṣe pataki julọ ni awọn ofin ti iduroṣinṣin eto alejo ni ibẹrẹ ti Windows, nibi o le rii iboju buluu ti o faramọ (tabi paapaa ko rii). Fun pupọ julọ awọn aṣiṣe ti a damọ, ọpọlọpọ awọn ibi-afẹde wa - imukuro awọn awakọ ẹrọ dina Xen, piparẹ iwọntunwọnsi iranti VM, titunṣe awọn eto nẹtiwọọki, ati idinku nọmba awọn ohun kohun. Awọn irinṣẹ alejo wa kọ awọn fifi sori ẹrọ ati ṣiṣe lori imudojuiwọn ni kikun Windows 7 ati Windows 10 (ayafi qvideo).

Nigbati o ba nlọ lati agbegbe gidi si ọkan foju, iṣoro kan dide pẹlu ṣiṣiṣẹ Windows ti o ba ti lo awọn ẹya OEM ti a ti fi sii tẹlẹ. Iru awọn ọna ṣiṣe lo imuṣiṣẹ ti o da lori awọn iwe-aṣẹ pato ninu UEFI ẹrọ naa. Lati ṣe ilana imuṣiṣẹ ni deede, o jẹ dandan lati tumọ ọkan ninu gbogbo awọn apakan ACPI ti eto agbalejo (tabili SLIC) si eto alejo ati ṣatunkọ awọn miiran diẹ, fiforukọṣilẹ olupese. Xen gba ọ laaye lati ṣe akanṣe akoonu ACPI ti awọn tabili afikun, ṣugbọn laisi iyipada awọn akọkọ. Patch kan lati iru iṣẹ OpenXT kan, eyiti a ṣe deede fun Qubes, ṣe iranlọwọ pẹlu ojutu naa. Awọn atunṣe dabi ẹnipe o wulo kii ṣe fun wa nikan ati pe a tumọ si ibi ipamọ Qubes akọkọ ati ile-ikawe Libvirt.

Awọn aila-nfani ti o han gbangba ti awọn irinṣẹ iṣọpọ Windows pẹlu aini atilẹyin fun ohun, awọn ẹrọ USB, ati idiju ti ṣiṣẹ pẹlu media, nitori ko si atilẹyin ohun elo fun GPU. Ṣugbọn eyi ti o wa loke ko ṣe idiwọ lilo VM fun ṣiṣẹ pẹlu awọn iwe aṣẹ ọfiisi, tabi ko ṣe idiwọ ifilọlẹ awọn ohun elo ajọṣepọ kan pato.

Ibeere lati yipada si ipo iṣẹ laisi nẹtiwọọki kan tabi pẹlu nẹtiwọọki ti o lopin lẹhin ṣiṣẹda awoṣe VM Windows kan ti ṣẹ nipasẹ ṣiṣẹda awọn atunto ti o yẹ ti awọn ohun elo VM, ati pe o ṣeeṣe ti yiyan sisopọ media yiyọ kuro tun ni ipinnu nipasẹ awọn irinṣẹ OS boṣewa - nigbati o ba sopọ , wọn wa ninu eto VM sys-usb, lati ibi ti wọn le jẹ "firanṣẹ" si VM ti a beere. Tabiliti olumulo n wo nkan bi eleyi.

Lilo QubesOS lati ṣiṣẹ pẹlu Windows 7

Ẹya ikẹhin ti eto naa jẹ daadaa (niwọn bi iru ojutu okeerẹ gba laaye) nipasẹ awọn olumulo, ati awọn irinṣẹ boṣewa ti eto jẹ ki o ṣee ṣe lati faagun ohun elo naa si aaye iṣẹ alagbeka olumulo pẹlu iraye si nipasẹ VPN.

Dipo ti pinnu

Imudara ni gbogbogbo gba ọ laaye lati dinku awọn eewu ti lilo awọn eto Windows ti o fi silẹ laisi atilẹyin - ko fi agbara mu ibamu pẹlu ohun elo tuntun, o fun ọ laaye lati yọkuro tabi ṣakoso iwọle si eto lori nẹtiwọọki tabi nipasẹ awọn ẹrọ ti o sopọ, ati pe o fun ọ laaye lati se a ọkan-akoko ifilole ayika.

Da lori imọran ti ipinya nipasẹ agbara agbara, Qubes OS ṣe iranlọwọ fun ọ lati lo iwọnyi ati awọn ẹrọ miiran fun aabo. Lati ita, ọpọlọpọ eniyan wo Qubes ni akọkọ bi ifẹ fun ailorukọ, ṣugbọn o jẹ eto ti o wulo mejeeji fun awọn onimọ-ẹrọ, ti o nigbagbogbo juggle awọn iṣẹ akanṣe, awọn amayederun, ati awọn aṣiri lati wọle si wọn, ati fun awọn oniwadi aabo. Iyapa ti awọn ohun elo, data ati formalization ti ibaraenisepo wọn jẹ awọn igbesẹ akọkọ ti itupalẹ irokeke ati apẹrẹ eto aabo. Iyapa yii ṣe iranlọwọ lati ṣe alaye alaye ati dinku iṣeeṣe ti awọn aṣiṣe nitori ifosiwewe eniyan - iyara, rirẹ, ati bẹbẹ lọ.

Lọwọlọwọ, tcnu akọkọ ni idagbasoke wa lori faagun iṣẹ ṣiṣe ti awọn agbegbe Linux. Ẹya 4.1 ti wa ni ipese fun itusilẹ, eyiti yoo da lori Fedora 31 ati pẹlu awọn ẹya lọwọlọwọ ti awọn paati bọtini Xen ati Libvirt. O tọ lati ṣe akiyesi pe Qubes jẹ ipilẹṣẹ nipasẹ awọn alamọdaju aabo alaye ti o ṣe idasilẹ awọn imudojuiwọn nigbagbogbo ti awọn irokeke tuntun tabi awọn aṣiṣe ba jẹ idanimọ.

Lẹhin Ọrọ

Ọkan ninu awọn agbara esiperimenta ti a ṣe idagbasoke jẹ ki a ṣẹda awọn VM pẹlu atilẹyin fun iraye si alejo si GPU ti o da lori imọ-ẹrọ Intel GVT-g, eyiti o fun wa laaye lati lo awọn agbara ti ohun ti nmu badọgba eya aworan ati faagun iwọn eto naa ni pataki. Ni akoko kikọ, iṣẹ ṣiṣe yii n ṣiṣẹ fun awọn igbelewọn idanwo ti Qubes 4.1, ati pe o wa lori github.

orisun: www.habr.com

Fi ọrọìwòye kun