Qubes OS - Qubes OS
 | |
 Qubes OS 4.0.3 работает с окружением рабочего стола по умолчанию , Xfce
| |
| Разработчик | Лаборатория невидимых вещей |
|---|---|
| Семейство ОС | Linux ( Unix-подобный ) |
| Рабочее состояние | Текущий |
| Исходная модель | Открытый исходный код ( GPLv2 ), двойная лицензия |
| Первый выпуск | 3 сентября 2012 г . |
| Последний релиз | 4.0.4 / 4 марта 2021 г . |
| Последний предварительный просмотр | 4.1-rc1 / 11 октября 2021 г . |
| Доступно в | Многоязычный |
| Метод обновления | Ням ( PackageKit ) |
| Менеджер пакетов | Менеджер пакетов RPM |
| Платформы | x86-64 |
| Тип ядра | Микроядро ( гипервизор Xen, работающий под управлением минимальных ОС на базе Linux и др.) |
| Userland | Fedora , Debian , Whonix , Microsoft Windows |
Пользовательский интерфейс по умолчанию |
Xfce |
| Лицензия |
Лицензии бесплатного программного обеспечения (в основном GPL v2) |
| Официальный веб-сайт | qubes-os |
Qubes OS является безопасность ориентированных на рабочий стол операционной системы , которая призвана обеспечить безопасность путем изоляции. Виртуализация выполняется Xen , а пользовательские среды могут быть основаны на Fedora , Debian , Whonix и Microsoft Windows , среди других операционных систем.
Такие системы, как Qubes, в академических кругах называются системами конвергентной многоуровневой защиты (MLS) . Появились и другие предложения подобных систем, и SecureView является коммерческим конкурентом, однако Qubes OS - единственная система такого рода, которая активно разрабатывается по лицензии FOSS .
Цели безопасности
Qubes реализует подход « Безопасность за счет изоляции» . Предполагается, что не может быть идеальной среды рабочего стола без ошибок: такая среда насчитывает миллионы строк кода и миллиарды взаимодействий программного и аппаратного обеспечения . Одной критической ошибки в любом из этих взаимодействий может быть достаточно, чтобы вредоносная программа взяла под контроль машину.
Чтобы защитить рабочий стол, пользователь Qubes старается изолировать различные среды , чтобы в случае взлома одного из компонентов вредоносное ПО получало доступ только к данным внутри этой среды.
В Qubes изоляция обеспечивается в двух измерениях: аппаратные контроллеры могут быть изолированы в функциональные домены (например, сетевые домены, домены USB-контроллеров), тогда как цифровая жизнь пользователя определяется доменами с разными уровнями доверия. Например: рабочий домен (самый надежный), торговый домен, случайный домен (менее доверенный). Каждый из этих доменов запускается на отдельной виртуальной машине .
Виртуальные машины Qubes по умолчанию имеют беспарольный root-доступ (например, sudo без пароля ). Безопасная загрузка UEFI не поддерживается по умолчанию, но это не считается серьезной проблемой безопасности. Qubes - это не многопользовательская система.
Установка и требования
Qubes не предназначался для запуска как часть многозагрузочной системы, потому что, если злоумышленник получит контроль над одной из других операционных систем, он, вероятно, сможет скомпрометировать Qubes (например, до загрузки Qubes). Тем не менее, Qubes все еще можно использовать как часть мультизагрузочной системы и даже использовать grub2 в качестве загрузчика / менеджера загрузки . Стандартная установка Qubes занимает все пространство на носителе (например, жесткий диск , USB-накопитель ), на котором она установлена (а не только все доступное свободное пространство), и использует полное шифрование диска LUKS / dm-crypt . Можно (хотя и не тривиально) настроить большую часть установки Qubes OS, но по соображениям безопасности это не рекомендуется для пользователей, которые не очень хорошо знакомы с Qubes. Qubes 4.x требуется не менее 32 ГБ дискового пространства и 4 ГБ ОЗУ. Однако на практике обычно требуется более 6-8 ГБ ОЗУ, поскольку, хотя его можно запустить только с 4 ГБ ОЗУ, пользователи, скорее всего, будут ограничены запуском не более трех кубов одновременно.
С 2013 года Qubes не поддерживает 32-битные архитектуры x86 и теперь требует 64-битного процессора. Qubes использует Intel VT-d / AMD AMD-Vi , который доступен только на 64-битных архитектурах, для изоляции устройств и драйверов. 64-битная архитектура также обеспечивает немного большую защиту от некоторых классов атак. Начиная с Qubes 4.x, для Qubes требуется либо процессор Intel с поддержкой VT-x с EPT и технологией виртуализации Intel VT-d, либо процессор AMD с поддержкой AMD-V с RVI (SLAT) и AMD-Vi (также известный как AMD IOMMU). ) технология виртуализации. Qubes нацелен на рынок настольных компьютеров. На этом рынке доминируют ноутбуки с процессорами и наборами микросхем Intel, и, следовательно, разработчики Qubes сосредотачиваются на технологиях Intel VT-x / VT-d. Это не является серьезной проблемой для процессоров AMD, поскольку AMD IOMMU функционально идентична Intel VT-d.
Пользовательский опыт
Пользователи взаимодействуют с Qubes OS почти так же, как и с обычной настольной операционной системой. Но есть несколько ключевых отличий:
- Каждый домен безопасности (qube) идентифицируется рамкой окна разного цвета.
- Открытие приложения в первый раз в этом сеансе для определенного домена безопасности займет около 30 секунд (в зависимости от оборудования).
- Копирование файлов и буфера обмена немного отличается, поскольку домены не используют общий буфер обмена или файловую систему.
- Пользователь может создавать отсеки безопасности и управлять ими.
Обзор системной архитектуры
Гипервизор Xen и административный домен (Dom0)
Гипервизор обеспечивает изоляцию между разными виртуальными машинами. Административный домен, также называемый Dom0 (термин, унаследованный от Xen), по умолчанию имеет прямой доступ ко всему оборудованию. Dom0 размещает домен GUI и управляет графическим устройством, а также устройствами ввода, такими как клавиатура и мышь. Домен GUI запускает X-сервер , который отображает рабочий стол пользователя, и диспетчер окон , который позволяет пользователю запускать и останавливать приложения и управлять их окнами.
Интеграция различных виртуальных машин обеспечивается средством просмотра приложений, которое создает иллюзию для пользователя, что приложения выполняются изначально на рабочем столе, в то время как на самом деле они размещены (и изолированы) на разных виртуальных машинах. Qubes объединяет все эти виртуальные машины в одну общую среду рабочего стола .
Поскольку Dom0 чувствителен к безопасности, он изолирован от сети. Как правило, он имеет как можно меньше интерфейса и связи с другими доменами, чтобы минимизировать вероятность атаки, исходящей от зараженной виртуальной машины.
Домен Dom0 управляет виртуальными дисками других виртуальных машин, которые фактически хранятся в виде файлов в файловой системе (ах) dom0. Дисковое пространство экономится благодаря тому, что различные виртуальные машины (ВМ) используют одну и ту же корневую файловую систему в режиме только для чтения. Раздельное дисковое хранилище используется только для пользовательского каталога и настроек каждой виртуальной машины. Это позволяет централизовать установку программного обеспечения и обновления. Также можно установить программное обеспечение только на определенную виртуальную машину, установив ее как пользователь без полномочий root или установив ее в нестандартной иерархии Qubes / rw .
Сетевой домен
Сетевой механизм наиболее подвержен атакам безопасности. Чтобы обойти это, он изолирован на отдельной непривилегированной виртуальной машине, называемой сетевым доменом.
Дополнительная виртуальная машина брандмауэра используется для размещения брандмауэра на основе ядра Linux, так что даже если сетевой домен скомпрометирован из-за ошибки драйвера устройства, брандмауэр по-прежнему изолирован и защищен (поскольку он работает в отдельном ядре Linux. в отдельной ВМ).
Виртуальные машины приложений (AppVM)
AppVM - это виртуальные машины, используемые для размещения пользовательских приложений, таких как веб-браузер, почтовый клиент или текстовый редактор. В целях безопасности эти приложения могут быть сгруппированы по разным доменам, таким как «личные», «рабочие», «покупки», «банк» и т. Д. Домены безопасности реализованы как отдельные виртуальные машины (ВМ), таким образом, будучи изолированными. друг от друга, как если бы они выполнялись на разных машинах.
Некоторые документы или приложения можно запускать на одноразовых виртуальных машинах с помощью действия, доступного в файловом менеджере. Механизм следует идее песочниц : после просмотра документа или приложения вся Disposable VM будет уничтожена.
Каждый домен безопасности помечен цветом, а каждое окно помечено цветом домена, которому оно принадлежит. Таким образом, всегда четко видно, к какому домену принадлежит данное окно.
Прием
Эксперты по безопасности и конфиденциальности, такие как Эдвард Сноуден , Дэниел Дж. Бернштейн и Кристофер Согоян , публично похвалили проект.
Джесси Смит написал обзор Qubes OS 3.1 для DistroWatch Weekly:
Однако на второй день испытания у меня было откровение, когда я понял, что неправильно использую Qubes. Я рассматривал Qubes как дистрибутив Linux с повышенной безопасностью, как если бы это была обычная настольная операционная система с некоторой дополнительной безопасностью. Это быстро разочаровало меня, так как было трудно обмениваться файлами между доменами, делать снимки экрана или даже выходить в Интернет из программ, которые я открыл в Domain Zero. Мой опыт значительно улучшился, когда я начал думать о Qubes как о нескольких отдельных компьютерах, которые случайно использовали один экран. Как только я начал рассматривать каждый домен как отдельный остров, отрезанный от всех остальных, Qubes приобрел гораздо больший смысл. Qubes объединяет домены на одном рабочем столе почти так же, как виртуализация позволяет запускать несколько операционных систем на одном сервере.
Кайл Рэнкин из Linux Journal сделал обзор ОС Qubes в 2016 году:
Я уверен, что вы уже видите ряд областей, в которых Qubes обеспечивает более высокий уровень безопасности, чем обычный рабочий стол Linux.
В 2014 году Qubes был выбран финалистом конкурса Access Innovation Prize 2014 для Endpoint Security, проводимого международной правозащитной организацией Access Now .
