The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

Релиз ОС Qubes 4.2.0, использующей виртуализацию для изоляции приложений

19.12.2023 09:09

После почти двух лет разработки представлен релиз операционной системы Qubes 4.2.0, реализующей идею использования гипервизора для строгой изоляции приложений и компонентов ОС (каждый класс приложений и системные сервисы работают в отдельных виртуальных машинах). Для работы рекомендуется система с 16 Гб ОЗУ (минимум - 6 Гб) и 64-разрядным CPU Intel или AMD с поддержкой технологий VT-x c EPT/AMD-v c RVI и VT-d/AMD IOMMU, желательно наличие GPU Intel (GPU NVIDIA и AMD недостаточно хорошо протестированы). Размер установочного образа - 6 ГБ (x86_64).

Приложения в Qubes разделены на классы в зависимости от важности обрабатываемых данных и решаемых задач. Каждый класс приложений (например, работа, развлечения, банковские операции), а также системные сервисы (сетевая подсистема, межсетевой экран, работа с хранилищем, USB-стек и т.п.), работают в отдельных виртуальных машинах, запускаемых с использованием гипервизора Xen. При этом указанные приложения доступны в рамках одного рабочего стола и выделяются для наглядности разным цветом обрамления окна. Каждое окружение имеет доступ на чтение к базовой корневой ФС и локальному хранилищу, не пересекающемуся с хранилищами других окружений, для организации взаимодействия приложений используется специальный сервис.

В качестве основы для формирования виртуальных окружений может применяться пакетная база Fedora и Debian, также сообществом поддерживаются шаблоны для Ubuntu, Gentoo и Arch Linux. Возможна организация доступа к приложениям в виртуальной машине с Windows, а также создание виртуальных машин на базе Whonix для обеспечения анонимного доступа через Tor. Пользовательская оболочка построена на основе Xfce. Когда пользователь запускает из меню приложение, это приложение стартует в определенной виртуальной машине. Содержание виртуальных окружений определяется набором шаблонов.

Основные изменения:

  • Базовое окружение Dom0 обновлено до пакетной базы Fedora 37 (шаблон для виртуальных окружений на базе Fedora 37 был предложен в прошлом обновлении Qubes 4.1.2).
  • Шаблон для формирования виртуальных окружений на базе Debian обновлён до ветки Debian 12.
  • Гипервизор Xen обновлён до ветки 4.17 (ранее использовался Xen 4.14).
  • Шаблоны для формирования виртуальных окружений на базе Fedora и Debian по умолчанию переведены на использование пользовательского окружения Xfce вместо GNOME.
  • В шаблоне виртуальных окружений на базе Fedora добавлена поддержка системы принудительного контроля доступа SELinux.
  • Полностью переписана реализация меню приложений, а также графических интерфейсов для настройки (Qubes Global Settings), создания новых окружений (Create New Qube) и обновления шаблонов виртуальных машин (Qubes Update).
  • Размещение файла конфигурации GRUB (grub.cfg) унифицировано для UEFI и классических BIOS.
  • Добавлена поддержка мультимедийного сервера PipeWire.
  • Для обновления прошивок задействован инструментарий fwupd.
  • Добавлена опция для автоматической очистки буфера обмена через минуту после последней операции вставки. Для включения автоочистки следует использовать команду qvm-service --enable VMNAME gui-agent-clipboard-wipe
  • Для сборки официальных пакетов задействован новый сборочный инструментарий Qubes Builder v2, в котором усилена изоляция сборочных процессов.
  • В конфигураторе предложена отдельная секция для управления GPG.
  • В сервисах Qrexec задействован по умолчанию новый более гибкий формат правил Qrexec, определяющих кто, что и где может делать в Qubes. Новый вариант правил отличается значительным увеличением производительности и системой уведомлений, упрощающей диагностику проблем.

  1. Главная ссылка к новости (https://www.qubes-os.org/news/...)
  2. OpenNews: Релиз ОС Qubes 4.1, использующей виртуализацию для изоляции приложений
  3. OpenNews: Йоанна Рутковская покинула проект Qubes и присоединилась к работе над платформой Golem
  4. OpenNews: Доступен Whonix 17, дистрибутив для обеспечения анонимных коммуникаций
  5. OpenNews: Проект Qubes выступил с новой инициативой сертификации безопасных ноутбуков
  6. OpenNews: Четвёртый тестовый выпуск ОС Subgraph
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/60308-qubes
Ключевые слова: qubes, virtual
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (59) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.5, beck (??), 11:04, 19/12/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Какая-то из пальца высосанная идея. В реальности обычно не так.

    Например есть два контура, "личный" и "работа впн".

    Приложения одни и те же,  данные также пересекаются. Отличаются только доступы.

     
     
  • 2.7, Аноним (7), 11:07, 19/12/2023 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Ниразу не видел чтобы кто-то заводил даже на обычной системе два разных пользователя для разных задач на одного человека. Тут что-то в психологии нужен какой-то другой подход.
     
     
  • 3.8, Ананий (?), 11:13, 19/12/2023 [^] [^^] [^^^] [ответить]  
  • +/
    У тебя ондроед сам заводит
     
     
  • 4.10, Аноним (7), 12:03, 19/12/2023 [^] [^^] [^^^] [ответить]  
  • –7 +/
    Просто андроид для людей сделан, а десктоный линукс это мрак и неудобно.
     
     
  • 5.20, Аноним (20), 13:37, 19/12/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Очисти память и заблокируй инфу про линуксы
     
  • 3.12, Аноним (12), 12:34, 19/12/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Не очень удобно, но привыкнуть можно.
     
     
  • 4.21, Аноним (20), 13:38, 19/12/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Что именно неудобно?
     
  • 3.16, Akteon (?), 13:03, 19/12/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Ну, я завожу
     
     
  • 4.17, Аноним (17), 13:26, 19/12/2023 [^] [^^] [^^^] [ответить]  
  • +/
    И я. И не только двух.
     
     
  • 5.43, Аноним (43), 16:41, 19/12/2023 [^] [^^] [^^^] [ответить]  
  • +4 +/
    И мы заводим, по пользователю на субличность.
     
  • 3.22, Аноним (20), 13:40, 19/12/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Есть чутка другая реализация.
    Заводятся юзеры в систему по задачам,
    но запускаются приложения от них в одно пространстве.
    Сомнительная польза, но такая идея есть
     
  • 3.32, Аноним (32), 14:48, 19/12/2023 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Кошелек Bitcoin Cash с радостью угробит блокчейн кошелька обычного Bitcoin.  Оба используют папку bitcoin. Самый простой способ их отделить - использовать двух пользователей.
     
     
  • 4.39, Аноним (39), 16:02, 19/12/2023 [^] [^^] [^^^] [ответить]  
  • +/
    бегать из одного профиля в другой?
     
     
  • 5.54, Оно ним (?), 02:16, 20/12/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    А просто запустить приложение от лица другого пользователя не вариант?
     
  • 4.52, Аноним (52), 18:30, 19/12/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Для отдельных графических приложений проще bubblewrap из-под одного пользователя использовать, мотируя "разные хомяки".
     
  • 3.50, Аноним (52), 18:26, 19/12/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Для стима, вайна и игрушек часто выделяют пользователя. Ради сохранности данных и уменьшения энтропии в хомяке. Плюс, родительский контроль. Ещё - для сборки ПО, но его обычно запускают от основного через sudo.
     
  • 2.19, Аноним (20), 13:36, 19/12/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Тебе в андроид
     

  • 1.6, BeLord (ok), 11:05, 19/12/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    И как в этой штуке происходит обмен данными между приложениями? Вот  пример - файлик пришел из мессенджера, его нужно кинуть в графический редактор, а потом полученный результат кинуть в офисный пакет, а готовый документ кинуть в другой мессенджер.
     
     
  • 2.9, Аноним (9), 11:44, 19/12/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Есть CLI и GUI средства переноса файлов в другую ВМ.
     
     
  • 3.11, Аноним (7), 12:05, 19/12/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Лучше бы придумали как симлинки там делать.
     
  • 2.23, Аноним (20), 13:41, 19/12/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    как в гипервизоре обеспечивается обмен инфой
    между гостевых систем?
    Задумайся
     

  • 1.13, Аноним (13), 12:43, 19/12/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Отличная ОС, безопасная и актуальная. Гранты евросоюза кому попало не раздают.
     
     
  • 2.24, Аноним (20), 13:42, 19/12/2023 [^] [^^] [^^^] [ответить]  
  • +/
    железо под нее уже купил?
     
     
  • 3.53, Аноним (53), 19:22, 19/12/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Что за проблема с железом? Полный ебей б/у, если уж совсем туго с бабосиками на что-то без чужих козявок под клавиатурой.
     
     
  • 4.57, Аноним (57), 10:32, 20/12/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Почитай системные требования
     

  • 1.14, Аноним (14), 12:45, 19/12/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Отдельный привет секте свидетелей «а чо, X11 норм работает».

    Если кто не помнит, разработка Qubes началась именно с констатации факта, что нормально обезопасить тогдашний (до rootless было ещё далеко) иксовый десктоп не получается, принципиально. Только в виртуалку запихнуть. Тут Джоанночка и достала свой «новый блестящий молоток» — гипервизор. И всё заверте…

     
     
  • 2.18, Аноним (17), 13:30, 19/12/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Так теперь-то rootless.
     
     
  • 3.25, Аноним (20), 13:43, 19/12/2023 [^] [^^] [^^^] [ответить]  
  • +/
    так она из проекта ушла?
     
     
  • 4.28, Аноним (17), 14:13, 19/12/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Говорят, что Джоана ушла. Но я про Иксы сказал, что теперь они rootless.
     
  • 2.63, Аноним (63), 14:14, 20/12/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Нормально обезопасить десктопный люникс без виртуалок не получалось. Да и до сих пор не получается. Вон перцы из шапки пытаются Flatpak натягивать, т.е. по сути те же контейнеры, но получается срань.
     

  • 1.15, Аноним (15), 12:54, 19/12/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    У кого-нибудь есть знакомый, друг которого на полном серьёзе пользуется этим?
     
     
  • 2.26, Аноним (20), 13:44, 19/12/2023 [^] [^^] [^^^] [ответить]  
  • +/
    он не признается
     
  • 2.27, Аноним (27), 13:46, 19/12/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Да, друг использует - с установленным опенсорсным БИОСом coreboot на AMD'шном ноуте (без бэкдора PSP) Lenovo G505S . Работает при условии что установлен coreboot, т.к. в проприетарном UEFI (который стоит изначально) не работает IOMMU - так важный для Qubes OS. Ещё, обязателен апгрейд на 16 гигов оперативки
     
  • 2.29, Аноним (29), 14:26, 19/12/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Более года пользовал v.4.0.4. На AMD iGPU графика работает. Да всё работает, как и заявлено.
    Надоело только, что 2 HW сетевые карты постоянно меняются настройками, хоть настройки и привязаны к MAC. =(
    Потому снёс и поставил OpenIndiana.
     
     
  • 3.30, Аноним (30), 14:34, 19/12/2023 [^] [^^] [^^^] [ответить]  
  • +/
    энто чтоли - https://ru.wikipedia.org/wiki/OpenIndiana
    чем оно лучше и безопаснее?
     
     
  • 4.31, Аноним (30), 14:36, 19/12/2023 [^] [^^] [^^^] [ответить]  
  • +/
    что то очень грустное
    https://dzen.ru/a/Y48r1fj5ER6b9PQy
    наверно кубес лучше будет
     
     
  • 5.38, Аноним (15), 15:38, 19/12/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    В статье написано что OpenIndiana очень сильно тупит. Я ставил её на intel core 2 duo. Она работала ничем не хуже чем Убунта. Статью писал линуксоид хейтер, который хейтит всё кроме этого вашего линукса.
     
     
  • 6.45, Аноним (7), 17:34, 19/12/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Если что это вообще дзен зачем ты это читал?
     
     
  • 7.58, Аноним (57), 10:33, 20/12/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Хочу научится не ставить знаки припенания вообще
    нигде и никогда чтобы быть необразованным крутым
     
     
  • 8.59, Аноним (57), 10:35, 20/12/2023 [^] [^^] [^^^] [ответить]  
  • +/
    казнить нельзя помиловать ... текст свёрнут, показать
     
  • 3.35, Аноним (15), 15:35, 19/12/2023 [^] [^^] [^^^] [ответить]  
  • +/
    >Потому снёс и поставил OpenIndiana.  

    Об OpenIndiana узнал с этого сайта несколько лет назад.
    Пробовал на виртуалке и даже железе. Проблема в том что софта мало. Снёс. Поставил Винду.
    Чем обусловлен выбор именно OpenIndiana? Как поддержка вай-фая?

     
     
  • 4.69, Аноним (69), 07:22, 22/12/2023 [^] [^^] [^^^] [ответить]  
  • +/
    wifi вообще не вариант, т.к. вокруг >50 AP. По меди вполне.
    Плюшки: zfs, zones. Да, ПО "из коробки" поменьше.
    Но для разработки средства есть. В целом нормально.
     
  • 2.37, Аноним (-), 15:37, 19/12/2023 Скрыто ботом-модератором     [к модератору]
  • +/
     
  • 2.68, Алекс (??), 23:16, 21/12/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Друга нет, так что сам пользуюсь))
     

  • 1.34, cloudchief (ok), 15:15, 19/12/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    фигня какая-то для параноиков
     
  • 1.40, Random (??), 16:02, 19/12/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    По мне, здравая тема.
    У меня и так торговля(Квик, MT5) и телега работают в отдельных ВМ.
     
     
  • 2.49, Аноним (49), 17:52, 19/12/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Тоже использую виртуалку с линуксом для клиентбанка. Lucks шифрование и восстановление из снапшота после каждого использования. Ещё бы amd sev для шифрования оперативки...
     

  • 1.42, Аноним (42), 16:06, 19/12/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    А можно просто иметь несколько физический компов для разных задач. Данные таскать флешкой между ними. Как тебе такое, Рутковская?
     
     
  • 2.44, Аноним (7), 17:33, 19/12/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Звучит как идея для стартапа, продавать ноуты только парами и с флешкой.
     
     
  • 3.51, OpenBSD (?), 18:29, 19/12/2023 [^] [^^] [^^^] [ответить]  
  • –1 +/
    А можно в корпус одного большого ноута запихать десяток миниатюрных одноплатников.

    Но ведь, если верить Рутковской, то сетевые дрова заведомо дырявы.

    Зато вся эта шиза на N гигабайт вероятно лишена каких-либо дыр.

    Особенно софт от RedHat, DBUS, системДнище и т.п. длинный список ненужно (который благополучно выпиливают в Hyperbola Linux/BSD)  и блоб ядра в целом, особенно преднамеренно вставленных туда бэкдоров, LOL

    Но я решил не дожидать HyperbolaBSD, а поставил OpenBSD, и какое же это удовольствие работать в системе с потреблением RAM на уровне 28 Мегабайт! Даже есть ощущение того, что если сильно приспичит, то смогу сам найти багу и выпилить ее нафик.

     
     
  • 4.60, Аноним (57), 10:39, 20/12/2023 [^] [^^] [^^^] [ответить]  
  • +/
    >  RAM на уровне 28 Мегабайт

    Если работа это смотрение в экран,
    то ДА круто!

     
     
  • 5.66, OpenBSD (?), 16:39, 20/12/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Набирание команд в SSH терминале? И чтобы никто другой не набрал ничего лишнего?
     
  • 4.67, Аноним (67), 14:01, 21/12/2023 [^] [^^] [^^^] [ответить]  
  • +/
    >А можно в корпус одного большого ноута запихать десяток миниатюрных одноплатников.

    Вас уже давно опередил intel с его зионами на pci. Но вы всё ещё можете выдернуть один usb, заменить его на хаб и плюхнуть туда что-то палкообразное.

     
  • 2.47, Аноним (43), 17:36, 19/12/2023 [^] [^^] [^^^] [ответить]  
  • +/
    В военке так и делают. Главное чтобы не винда с автозапуском.
     
  • 2.56, 1 (??), 09:28, 20/12/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Странные люди на этом опеннет ...
    То одни докер докер через докер ... (а как общаются данными докеры между собой ?).
    То не могут данные между виртуалками передать (сетевой стек видимо отменили).

    Кубикс - это пример того, как можно обеспечить безопасность параноикам. Практически у всех моих знакомых 2 браузера - один типа для порно и торрентов, другой для торговли коинов и госуслуг. Не считая тора, чтоб самочек в инстаграммах позырить ...

    Ну а у кого-то это всё в виртуалках ... Нормальный ход.

    А тут идею развили до конкретного завершения.

    А по поводу 2х ноутбуков ... Межделмаш реализовал идею LPAR ещё в конце 80х прошлого века.

     
     
  • 3.61, Аноним (57), 10:45, 20/12/2023 [^] [^^] [^^^] [ответить]  
  • +/
    мне например тащить в ОС яндекс
    и прочее подобное не хочется.
    для этоко ВМ с виндой выделил.
    вот оно там все варится.. госуслуги, яб, налог.ру, токены...
     
     
  • 4.62, 1 (??), 11:33, 20/12/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Yandex.Browser - это абсолютное зло. Используй Chromium GOST, Bro.

    Минус - его надо ручками обновлять.

     
     
  • 5.64, Аноним (64), 14:18, 20/12/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Есть у хрома еще минус
    Криптопро с ним хреновасто работает
    Да и не на всех системах можно обновлять..

     
     
  • 6.65, 1 (??), 15:23, 20/12/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Chromium GOST специально командой CryptoPro пилится и замечательно работает с CryptoPro CSP
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру