经过近四年的开发,Qubes 4.1操作系统发布,实现了使用虚拟机管理程序严格隔离应用程序和操作系统组件的思想(每一类应用程序和系统服务运行在单独的虚拟机中)。 要工作,您需要一个具有 6 GB RAM 和 64 位 Intel 或 AMD CPU 的系统,支持带有 RVI 的 EPT/AMD-v 的 VT-x 和 VT-d/AMD IOMMU 技术,最好是 Intel GPU (NVIDIA AMD GPU 尚未经过充分测试)。 安装映像大小为 6 GB。
Qubes 中的应用程序根据正在处理的数据和正在解决的任务的重要性分为几类。 每类应用程序(例如,工作、娱乐、银行)以及系统服务(网络子系统、防火墙、存储、USB 堆栈等)都在使用 Xen 虚拟机管理程序运行的单独虚拟机中运行。 同时,这些应用程序可在同一桌面中使用,并以不同的窗口框架颜色突出显示以确保清晰。 每个环境都具有对底层根文件系统和本地存储的读取访问权限,这些存储与其他环境的存储不重叠;使用特殊的服务来组织应用程序交互。
Fedora 和 Debian 软件包库可用作创建虚拟环境的基础;社区还支持 Ubuntu、Gentoo 和 Arch Linux 的模板。 可以在 Windows 虚拟机中组织对应用程序的访问,也可以创建基于 Whonix 的虚拟机以通过 Tor 提供匿名访问。 用户 shell 构建在 Xfce 之上。 当用户从菜单启动应用程序时,该应用程序将在特定虚拟机中启动。 虚拟环境的内容由一组模板确定。
主要变化:
- 能够使用带有组件的独立GUI Domain环境来确保图形界面的操作已经实现。 以前,在虚拟环境中,每一类应用程序都运行一个单独的 X 服务器、一个简化的窗口管理器和一个以复合模式将输出转换到控制环境的存根视频驱动程序,但图形堆栈组件、主桌面窗口管理器、屏幕控件和图形驱动程序运行在主控环境Dom0中。 现在,图形相关的功能可以从Dom0转移到单独的GUI域环境中,并与系统管理组件分离。 Dom0只留下一个特殊的后台进程来提供对某些内存页面的访问。 GUI 域支持仍处于实验阶段,默认情况下未启用。
- 添加了对 Audio Domain 的实验性支持,这是一个用于运行音频服务器的独立环境,允许您将音频处理组件与 Dom0 分开。
- 添加了后台进程 qrexec-policy 和 Qrexec RPC 机制的新规则系统,允许您在指定虚拟环境的上下文中执行命令。 Qrexec 规则系统决定谁可以在 Qubes 中执行什么操作以及在何处执行操作。 新版本的规则具有更灵活的格式、显着提高的生产力以及更容易诊断问题的通知系统。 添加了将 Qrexec 服务作为可通过套接字服务器访问的服务器运行的功能。
- 提出了基于 Gentoo Linux 的虚拟环境的三个新模板 - 最小化、使用 Xfce 和使用 GNOME。
- 已经实施了新的基础设施,用于维护、自动组装和测试其他虚拟环境模板。 除了 Gentoo 之外,该基础设施还为 Arch Linux 和 Linux 内核测试的模板提供支持。
- 改进了构建和测试系统,添加了对基于 GitLab CI 的持续集成系统中验证的支持。
- 已经完成了对基于 Debian 的环境的可重复构建的支持,这可以用来确认 Qubes 组件是完全根据规定的源代码构建的,并且不包含无关的更改,例如可以将其替换为通过攻击编译器中的汇编基础结构或书签来制造。
- 防火墙的实现已被重写。
- sys-firewall 和 sys-usb 环境现在默认以“一次性”模式运行,即是一次性的,可以按需创建。
- 改进了对高像素密度屏幕的支持。
- 添加了对不同光标形状的支持。
- 实施了有关可用磁盘空间不足的通知。
- 添加了对偏执备份恢复模式的支持,该模式使用一次性虚拟环境进行恢复。
- 安装程序允许您在 Debian 和 Fedora 之间选择虚拟机模板。
- 添加了用于管理更新的新图形界面。
- 添加了用于安装、删除和更新模板的模板管理器实用程序。
- 改进了模板分发机制。
- 基础 Dom0 环境已更新为 Fedora 32 软件包基础。用于创建虚拟环境的模板已更新为 Fedora 34、Debian 11 和 Whonix 16。默认提供 Linux 5.10 内核。 Xen 4.14 管理程序和 Xfce 4.14 图形环境已更新。
来源: opennet.ru