Qubes OS - Qubes OS

Qubes OS
	Приложения, работающие в разных доменах безопасности
Разработчик	Лаборатория невидимых вещей
Семейство ОС	Linux (Unix-подобный )
Рабочее состояние	Текущий
Исходная модель	Открытый исходный код (GPLv2 ), двойная лицензия
изначальный выпуск	3 сентября 2012 г.; 8 лет назад
Последний релиз	4.0.3 / 23 января 2020 г.; 10 месяцев назад
Последний предварительный просмотр	4.0.3-rc1 / 14 февраля 2020 г.; 9 месяцев назад
Доступно в	Многоязычный
Метод обновления	Ням (PackageKit )
Менеджер пакетов	Менеджер пакетов RPM
Платформы	x86-64
Ядро тип	Микроядро (Xen Гипервизор работает минимально Linux ОС на базе и другие)
Userland	Fedora, Debian, Whonix, Майкрософт Виндоус
Дефолт пользовательский интерфейс	KDE, Xfce
Лицензия	Бесплатно программное обеспечение лицензии; (в основном GPL v2)
Официальный веб-сайт	www.qubes-os.org

Qubes OS это ориентированный на безопасность рабочий стол Операционная система который направлен на предоставление безопасность через изоляцию.^[6] Виртуализация выполняется Xen, а пользовательские среды могут быть основаны на Fedora, Debian, Whonix, и Майкрософт Виндоус, среди других операционных систем.^[7]^[8]

Такие системы, как Qubes, в академических кругах называются Конвергентные многоуровневые системы безопасности (MLS)^[9]. Появились и другие предложения подобных систем.^[10]^[11] и SecureView^[12] является коммерческим конкурентом. Qubes OS, однако, является единственной системой такого рода, которая активно разрабатывается под FOSS лицензия.

Цели безопасности

Схема доменов безопасности

Qubes реализует Безопасность через изоляцию подход.^[13] Предполагается, что не может быть идеальной среды рабочего стола без ошибок: такая среда насчитывает миллионы строки кода и миллиарды программного обеспечения /аппаратное обеспечение взаимодействия. Одной критической ошибки в любом из этих взаимодействий может хватить для вредоносное ПО взять под контроль машину.^[14]^[15]

Чтобы защитить рабочий стол, пользователь Qubes старается изолировать различные среды, чтобы в случае взлома одного из компонентов вредоносное ПО получало доступ только к данным внутри этой среды.^[16]

В Qubes изоляция обеспечивается в двух измерениях: аппаратные контроллеры могут быть изолированы в функциональные домены (например, сетевые домены, домены USB-контроллеров), тогда как цифровая жизнь пользователя определяется доменами с разными уровнями доверия. Например: рабочий домен (самый надежный), торговый домен, случайный домен (менее доверенный).^[17] Каждый из этих доменов работает в отдельном виртуальная машина.

В (немного спорном) дизайнерском решении, Qubes виртуальных машин, по умолчанию, имеет беспарольный корневой доступ (например, без пароля судо ).^[18] Безопасная загрузка UEFI не поддерживается "из коробки", но это не считается серьезной проблемой безопасности.^[19] Qubes - это не многопользовательский система.^[20]

Установка и требования

Qubes не предназначался для запуска как часть мультизагрузочная система потому что, если злоумышленник получит контроль над одной из других операционных систем, он, вероятно, сможет взломать Qubes (например, до загрузки Qubes).^[21] Тем не менее, Qubes все еще можно использовать как часть мультизагрузочной системы и даже использовать grub2 как загрузчик /менеджер загрузки.^[21] Стандартная установка Qubes занимает все место на носитель информации (например. жесткий диск, флешка ), на котором он установлен (а не только все доступное свободное пространство), и использует LUKS /dm-crypt полное шифрование диска.^[19] Можно (хотя и не тривиально) настроить большую часть установки Qubes OS, но по соображениям безопасности это не рекомендуется для пользователей, которые не очень хорошо знакомы с Qubes. Qubes 4.x требуется не менее 32 ГБ дискового пространства и 4 ГБ ОЗУ.^[22]Однако на практике обычно требуется более 6-8 ГБ ОЗУ, поскольку, хотя его можно запустить только с 4 ГБ ОЗУ, пользователи, скорее всего, будут ограничены запуском не более трех кубов одновременно.^[19]

С 2013 года Qubes не поддерживает 32-битные архитектуры x86 и теперь требует 64-битного процессора.^[19] Qubes использует Intel VT-d / AMD AMD-Vi, который доступен только на 64-битных архитектурах, для изоляции устройств и драйверов. 64-битная архитектура также обеспечивает немного большую защиту от некоторых классов атак.^[19] Начиная с Qubes 4.x, Qubes требует либо Intel процессор с поддержкой VT-x с EPT и Intel VT-d технология виртуализации или AMD процессор с поддержкой AMD-V с RVI (SLAT) и AMD-Vi (также известная как AMD IOMMU) технология виртуализации.^[19] Qubes нацелен на рынок настольных компьютеров. На этом рынке доминируют ноутбуки с процессорами и наборами микросхем Intel, и, следовательно, разработчики Qubes сосредотачиваются на технологиях Intel VT-x / VT-d.^[23] Это не является серьезной проблемой для процессоров AMD, поскольку AMD IOMMU функционально идентична Intel VT-d.^[23]

Пользовательский опыт

Пользователи взаимодействуют с Qubes OS почти так же, как и с обычной настольной операционной системой. Но есть несколько ключевых отличий:

Каждый домен безопасности (Qube) идентифицируется рамкой окна разного цвета.
Открытие приложения в первый раз в этом сеансе для определенного домена безопасности займет около 30 секунд (в зависимости от оборудования).
Копирование файлов^[24] и буфер обмена^[25] немного отличается, поскольку домены не используют общий буфер обмена или файловую систему
Пользователь может создавать и управлять отсеками безопасности.

Обзор системной архитектуры

Гипервизор Xen и административный домен (Dom0)

Гипервизор обеспечивает изоляцию между разными виртуальными машинами. Административный домен, также называемый Dom0 (термин, унаследованный от Xen), по умолчанию имеет прямой доступ ко всему оборудованию. Dom0 размещает GUI домен и управляет графическим устройством, а также устройствами ввода, такими как клавиатура и мышь. Домен GUI запускает X сервер, на котором отображается рабочий стол пользователя, а оконный менеджер, который позволяет пользователю запускать и останавливать приложения и управлять их окнами.

Интеграция различных виртуальных машин обеспечивается средством просмотра приложений, которое создает иллюзию для пользователя, что приложения выполняются изначально на рабочем столе, хотя на самом деле они размещены (и изолированы) на разных виртуальных машинах. Qubes объединяет все эти виртуальные машины в одну общую среда рабочего стола.

Поскольку Dom0 чувствителен к безопасности, он изолирован от сети. Как правило, он имеет как можно меньше интерфейса и связи с другими доменами, чтобы свести к минимуму возможность атаки, исходящей от зараженной виртуальной машины.^[26]^[27]

Домен Dom0 управляет виртуальными дисками других виртуальных машин, которые фактически хранятся в виде файлов в файловой системе (ах) dom0. Дисковое пространство экономится благодаря тому, что различные виртуальные машины (ВМ) используют одну и ту же корневую файловую систему в режиме только для чтения. Раздельное дисковое хранилище используется только для каталога пользователя и настроек каждой виртуальной машины. Это позволяет централизовать установку программного обеспечения и обновления. Также возможно установить программное обеспечение только на конкретную виртуальную машину, установив его как пользователь без полномочий root или установив его в нестандартной, специфичной для Qubes. / rw иерархия.

Сетевой домен

Сетевой механизм наиболее подвержен атакам безопасности. Чтобы обойти это, он изолирован на отдельной непривилегированной виртуальной машине, называемой сетевым доменом.

Дополнительный брандмауэр виртуальная машина используется для размещения брандмауэра на основе ядра Linux, так что даже если сетевой домен будет скомпрометирован из-за ошибки драйвера устройства, брандмауэр по-прежнему изолирован и защищен (поскольку он работает в отдельном ядре Linux в отдельном ВМ).^[28]

Виртуальные машины приложений (AppVM)

AppVM - это виртуальные машины, используемые для размещения пользовательских приложений, таких как веб-браузер, клиент электронной почты или текстовый редактор. В целях безопасности эти приложения могут быть сгруппированы по разным доменам, таким как «личные», «рабочие», «покупки», «банк» и т. Д. Домены безопасности реализованы как отдельные виртуальные машины (ВМ), таким образом, изолированные друг от друга, как если бы они выполнялись на разных машинах.

Некоторые документы или приложения можно запускать на одноразовых виртуальных машинах с помощью действия, доступного в файловом менеджере. Механизм следует идее песочницы: после просмотра документа или приложения вся Disposable VM будет уничтожена.^[29]

Каждый домен безопасности помечен цветом, а каждое окно помечено цветом домена, которому оно принадлежит. Таким образом, всегда четко видно, к какому домену принадлежит данное окно.

Прием

Эксперты по безопасности и конфиденциальности, такие как Эдвард Сноуден, Дэниел Дж. Бернштейн, и Кристофер Согоян публично похвалили проект.^[30]

Джесси Смит написал обзор Qubes OS 3.1 для DistroWatch Еженедельно:^[31]

Однако на второй день испытания я получил откровение, когда понял, что использую Qubes неправильно. Я рассматривал Qubes как дистрибутив Linux с повышенной безопасностью, как если бы это была обычная операционная система для настольных компьютеров с некоторой дополнительной безопасностью. Это быстро разочаровало меня, так как было трудно обмениваться файлами между доменами, делать снимки экрана или даже выходить в Интернет из программ, которые я открыл в Domain Zero. Мой опыт значительно улучшился, когда я начал думать о Qubes как о нескольких отдельных компьютерах, которые случайно использовали один экран. Как только я начал рассматривать каждый домен как отдельный остров, отрезанный от всех остальных, Qubes приобрел гораздо больший смысл. Qubes объединяет домены на одном рабочем столе почти так же, как виртуализация позволяет запускать несколько операционных систем на одном сервере.

Кайл Рэнкин из Linux журнал рассмотрел Qubes OS в 2016 году:^[32]

Я уверен, что вы уже можете видеть ряд областей, в которых Qubes обеспечивает большую безопасность, чем на обычном рабочем столе Linux.

В 2014 году Qubes был выбран финалистом конкурса Access Innovation Prize 2014 за безопасность конечных точек, проводимого международной правозащитной организацией. Доступ сейчас.^[33]

Смотрите также

внешняя ссылка

[1] «Лицензия Qubes OS».

[2] "Представляем Qubes 1.0!". 3 сентября 2012 г.

[3] "Выпущена Qubes OS 4.0.3!". 23 января 2020 г.. Получено 23 января, 2020.

[4] Вонг, Эндрю Дэвид (15 января 2020 г.). "Выпущена Qubes OS 4.0.3-rc1!". Qubes OS. Получено 7 февраля, 2020.

[5] «Лицензионная ОС Qubes». www.qubes-os.org.

[6] «Qubes OS предлагает грязную защиту на уровне системы». Реестр. 5 сентября 2012 г.

[7] "Шаблоны Qubes OS".

[8] «Установка и использование AppVM на базе Windows».

[9] Исса, Абдулла; Мюррей, Тоби; Эрнст, Гидон (4 декабря 2018 г.). «В поисках идеальных пользователей: к пониманию удобства использования конвергентных многоуровневых безопасных пользовательских интерфейсов». Труды 30-й Австралийской конференции по взаимодействию компьютера и человека. OzCHI '18: 30-я австралийская конференция по взаимодействию компьютера и человека. Мельбурн, Австралия: ACM. п. 572576. Дои:10.1145/3292147.3292231. ISBN 978-1-4503-6188-0. Получено 1 ноября, 2020.

[10] Бомонт, Марк; Маккарти, Джим; Мюррей, Тоби (5 декабря 2016 г.). «Междоменный настольный композитор: использование аппаратного композитинга видео для многоуровневого безопасного пользовательского интерфейса». Материалы 32-й ежегодной конференции по приложениям компьютерной безопасности. ACSAC '16: Ежегодная конференция по приложениям компьютерной безопасности, 2016 г. Лос-Анджелес, Калифорния, США: ACM. п. 533545. Дои:10.1145/2991079.2991087. ISBN 978-1-4503-4771-6. Получено 1 ноября, 2020.

[11] Атанас Филянов; Нас, Айсегюль; Волкамер, Мелани. «Об удобстве использования защищенных графических интерфейсов»: 11. Цитировать журнал требует | журнал = (помощь)

[12] «SecureView». Домашняя информационная безопасность AIS. Получено 1 ноября, 2020.

[13] «Три подхода к компьютерной безопасности». Иоанна Рутковска. 2 сентября 2008 г.

[14] «Qubes OS: операционная система, созданная для обеспечения безопасности». Оборудование Тома. 30 августа 2011 г.

[15] "Цифровая крепость?". Экономист. 28 марта 2014 г.

[16] «Как разделение компьютера на несколько реальностей может защитить вас от хакеров». Проводной. 20 ноября 2014 г.

[17] «Разделение моей цифровой жизни на области безопасности». Иоанна Рутковска. 13 марта 2011 г.

[QubesPasswordlessRootAccessInVMs-18] Беспарольный корневой доступ в виртуальных машинах

[QubesFAQ-19] а ^б ^c ^d ^е ^ж Qubes faq

[20] Рутковская, Иоанна (3 мая 2010 г.). «Группы Google - Qubes как многопользовательская система». Группы Google.

[QubesMultiboot-21] а ^б Мультизагрузка Qubes

[QubesSystemRequirements-22] Системные требования Qubes

[WhyIntelVT-d-23] а ^б Почему Intel VT-d?

[24] "Копирование файлов между кубами". Qubes OS. Получено 5 июня, 2020.

[25] "Скопировать и вставить". Qubes OS. Получено 5 июня, 2020.

[26] "(Не) доверять вашей подсистеме графического интерфейса". Иоанна Рутковская. 9 сентября 2010 г.

[27] «Цирк безопасности Linux: изоляция графического интерфейса». Иоанна Рутковска. 23 апреля 2011 г.

[28] «Игра с Qubes Networking для развлечения и прибыли». Иоанна Рутковска. 28 сентября 2011 г.

[29] «Кубы для реализации одноразовых виртуальных машин». OSnews. 3 июня 2010 г.

[30] "Объявлены финалисты премии Endpoint Security!".

[31] DistroWatch Weekly, выпуск 656, 11 апреля 2016 г.

[32] Обеспечение безопасности рабочих столов с помощью Qubes: Введение | Linux журнал

[33] "Объявлены финалисты премии Endpoint Security!". Майкл Карбоне. 13 февраля 2014 г.

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]

[9]

[10]

[11]

[12]

[13]

[14]

[15]

[16]

[17]

[18]

[19]

[20]

[21]

[22]

[23]

[24]

[25]

[26]

[27]

[28]

[29]

[30]

[31]

[32]

[33]

Red Hat Enterprise Linux и Fedora производные
Red Hat Enterprise Linux	CentOS ClearOS Ферми Linux Inspur K-UX Oracle Linux Красный рукав Распределение кластеров горных пород Научный Linux Турболинукс Желтая собака Linux
Fedora	Берри Linux BLAG Linux и GNU Корора Планета CCRMA Qubes OS Красный флаг Linux Red Star OS