The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Вторая бета-версия безопасной операционной системы Qubes OS, созданной на базе Linux и Xen

20.09.2011 18:35

Йоанна Рутковска (Joanna Rutkowska), известный польский исследователь в области компьютерной безопасности, анонсировала вторую бета-версию операционной системы Qubes OS, реализующей идею строгой изоляции приложений и компонентов ОС с задействованием системы виртуализации Xen. Каждый тип приложений и системных сервисов в Qubes OS работает в своей виртуальной машине. Каждое окружение (домен в терминологии Qubes OS) не может вмешиваться в работу других окружений и взаимодействует через специальный промежуточный сервис. Работа с изолированными программами осуществляется через единый рабочий стол - с точки зрения пользователя, программы запускаются как в обычных системах, а виртуализация плотно скрыта "под капотом". Подробнее с особенностями Qubes OS можно познакомиться в анонсе первой бета-версии.

Размер установочного iso-образа - 1.7 Гб. Системные требования достаточно велики: 4 Гб ОЗУ, 64-разрядный CPU Intel или AMD, желательно с поддержкой технологий VT-d или AMD IOMMU. Из графических карт в полной мере поддерживается только Intel GPU, при использовании NVIDIA наблюдаются проблемы, а работа карт AMD/ATI не протестирована.

Из реализованных во второй бета-версии новшеств можно отметить:

  • Переход на использование гипервизора Xen 4.1 (ранее использовался Xen 3.4). Улучшение поддержки VT-d. Более легковесный управляющий стек (в Qubes теперь используется xl вместо медленного и тяжеловесного xend). В качестве ядра Linux используется версия 2.6.38 для Dom0 и 3.0.4 для виртуальных машин;
  • Реализован Qrexec, базовый механизм для организации междоменных сервисов для которых задается централизованные политика использования. Используя Qrexec первичный уровень Dom0 может выполнять команды в контексте виртуальных окружений, например, когда пользователь запускает из меню KDE приложение, это приложение должно стартовать в определенной виртуальной машине. Qrexec также может использоваться для перенаправления stdin/stdout/stderr из виртуальной машины в Dom0;
  • Поддержка безопасного механизма для обновления Dom0, не требующего выполнения сетевых операций (Dom0 выполняется без поддержки сети);
  • Улучшение средств для управления виртуальными машинами: упрощенный процесс назначения устройств для домена изолированного выполнения драйверов; гибкие возможности конфигурирования ядра, используемого в виртуальных окружениях; новая утилита qvm-prefs;
  • Новый упрощенный механизм управления меню приложений (управление ярлыками в меню Start).


  1. Главная ссылка к новости (http://theinvisiblethings.blog...)
  2. OpenNews: Началось бета-тестирование безопасного Linux-дистрибутива Qubes OS
  3. OpenNews: Уязвимость в механизме виртуализации Intel VT-d позволяет выйти за пределы изолированного окружения
  4. OpenNews: В безопасной ОС Qubes будет добавлена поддержка одноразовых изолированных окружений
  5. OpenNews: Qubes - новая безопасная операционная система на базе Linux и Xen
Лицензия: CC-BY
Тип: Программы
Короткая ссылка: https://opennet.ru/31805-Qubes
Ключевые слова: Qubes, virtual
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение (34) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Аноним (-), 22:31, 20/09/2011 [ответить] [﹢﹢﹢] [ · · · ]  
  • –4 +/
    Вместо упрощения системы безопасности городить слои абстракции - прям в стиле microsoft.
     
     
  • 2.14, Аноним (-), 05:42, 21/09/2011 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Так именно сложного там ничего нет. Xen - мелкий гипервизор. А что до слоев - ну так даже процессор в невиртуализованной системе делит привилегии на ядро и пользователя. С xen - лишь дальнейшее развитие идеи. Операционка в контейнере - "задача ядра низкого уровня". А гипервизор - "ядро низкого уровня". Рутковска вообще свое дело знает. Учить ее безопасности будете после того как сделаете не менее годный руткит или более секурную ос с таким же функционалом ))
     
     
  • 3.23, коксюзер (?), 10:33, 21/09/2011 [^] [^^] [^^^] [ответить]  
  • +/
    http://seclists.org/dailydave/2010/q3/29
     
     
  • 4.29, Аноним (-), 15:57, 21/09/2011 [^] [^^] [^^^] [ответить]  
  • +/
    > http://seclists.org/dailydave/2010/q3/29

    А как тебе идейка - пустить иксы в отдельной виртуалочке, до кучи прокинув туда PCI-девайс видеокарты и выпихав драйвер туда? (Для этого надо систему с IOMMU, иначе есть риск поставить раком весь хост, когда dma из девайса полетит в неправильный адрес т.к. драйвер в виртуалке не в курсе что его надурили, и на самом деле все не совсем так как он видит).

     
     
  • 5.37, коксюзер (?), 18:02, 21/09/2011 [^] [^^] [^^^] [ответить]  
  • +/
    >> http://seclists.org/dailydave/2010/q3/29
    > А как тебе идейка - пустить иксы в отдельной виртуалочке, до кучи
    > прокинув туда PCI-девайс видеокарты и выпихав драйвер туда? (Для этого надо
    > систему с IOMMU, иначе есть риск поставить раком весь хост, когда
    > dma из девайса полетит в неправильный адрес т.к. драйвер в виртуалке
    > не в курсе что его надурили, и на самом деле все
    > не совсем так как он видит).

    Ниже уже отписал:
    https://www.opennet.ru/openforum/vsluhforumID3/80417.html#33

    Могу только добавить, что компрометация биоса видеокарты позволит выполнить вредоносный код на этапе её инициализации - то есть до загрузки ОС и гипервизора хост-системы. Ничего себе мерочка предотвращеньица! ;)

    Кстати, примерно так и мыслит Рутковска: в ответ на указания на потенциальные уязвимости предлагает от них "защититься" способами, которые порождают новые потенциальные уязвимости. Однако публика, внемлющая мнению иксперта, удовлетворена. Problem solved! ;)

     
     
  • 6.40, vle (ok), 16:26, 22/09/2011 [^] [^^] [^^^] [ответить]  
  • +/
    >>> http://seclists.org/dailydave/2010/q3/29
    >> А как тебе идейка - пустить иксы в отдельной виртуалочке, до кучи
    >> прокинув туда PCI-девайс видеокарты и выпихав драйвер туда? (Для этого надо
    >> систему с IOMMU, иначе есть риск поставить раком весь хост, когда
    >> dma из девайса полетит в неправильный адрес т.к. драйвер в виртуалке
    >> не в курсе что его надурили, и на самом деле все
    >> не совсем так как он видит).
    > Ниже уже отписал:
    > https://www.opennet.ru/openforum/vsluhforumID3/80417.html#33

    Вот такая она дуэль IT-шников 21-ого века...

    BTW, a personal invitation to Joanna:  if you believe in Qubes as much
    as your 100% undetectable rootkit, the PaX Team and I give you the same
    offer we would give to any SELinux zealot; put your most personal,
    valuable information in an AppVM, and give the world separate access to
    an AppVM with root ssh access enabled and outbound connections
    disallowed (since root doesn't matter, after all).  In other words, put
    something other than hype where your mouth is.

    Интересно, на это ответ был?

    BTW. Допустим, Джоанна неадекватна, и ее поделки не стоят ломаного гроша,
    но почему PaX/grsecurity не в апстриме?

     
     
  • 7.41, коксюзер (?), 21:30, 22/09/2011 [^] [^^] [^^^] [ответить]  
  • +/
    > Интересно, на это ответ был?

    На сколько я знаю, не было.

    > BTW. Допустим, Джоанна неадекватна, и ее поделки не стоят ломаного гроша,
    > но почему PaX/grsecurity не в апстриме?

    Не вижу связи. :) Почему не в апстриме - потому что у разработчиков ядра нет ни личной мотивации и понимания проблем, ни внешних стимулов, которые было бы сложно игнорировать. После того, как киберкриминал хорошенько прижал экосистему мелкософта, в винде, начиная с висты, появились некоторые средства защиты, которые впервые были реализованы именно в PaX. Линуксу держать подобный удар в силу возросшей популярности ещё лишь предстоит, и то - если повезёт.

     

  • 1.2, freename (ok), 22:43, 20/09/2011 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Сколько же там сложностей, наверняка и там найдется не одна дыра, самая защищенная ос та в которой хорошо представляешь как она работает
     
  • 1.3, bircoph (ok), 23:24, 20/09/2011 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Без использования SELinux или аналогов такой уровень изоляции выглядит сомнительным.
     
  • 1.5, Аноним (-), 00:28, 21/09/2011 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    А чем им не понравилась концепция микроядерности?
     
     
  • 2.6, ананим (?), 00:31, 21/09/2011 [^] [^^] [^^^] [ответить]  
  • +/
    хм, тем что к безопасности как таковой не относится?
    или вы изолированность адресных пространств юзерспейса за таковую принимаете?
     
     
  • 3.7, Аноним (-), 00:33, 21/09/2011 [^] [^^] [^^^] [ответить]  
  • +/
    Вообще-то да. Не в курсе как работает с памятью XEN, но если есть принципиальная разница — ткните носом.
     
     
  • 4.19, ананим (?), 06:31, 21/09/2011 [^] [^^] [^^^] [ответить]  
  • +/
    Легко - в микроведре большинство подсистем выполняются в своём, юзерспейсном пространстве.
    Это защищает разные подсистемы от ошибок в остальных.
    Например в макроведре, если пасьянс косынка упал в корку, то иксы продолжают работать как ни  в чём не бывало. В микроядре тоже может прлисходить и с подситемами ведра, тк формально они такие же (ну почти), как этот пасьянс (ежиственное исключение - этот "пасьянс" нужно перезапусьтить)

    Опять же к безопасности это не имеет отношения, тк если вы (или не вы) запусьтили пасьянс с вирус, который что-то пишет на диск, то он запишет на диск вне зависимости в пространстве ядра драйвер или нет.
    Красочный пример - нтфс-3г в юзер-спейсе. И пишет то, что ему скажут. Включая вирусы.

    Сабж же ограничивает каждую прогу (вернее даже процесс) своей песочницей.

     
     
  • 5.21, ананим (?), 06:38, 21/09/2011 [^] [^^] [^^^] [ответить]  
  • +/
    Сори за ошибки - пишу с ведроида
     
  • 3.9, Аноним (-), 02:10, 21/09/2011 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Полуркал по-поводу XEN и теперь вообще не вижу разницы с точки зрения безопасности, единственное отличие от микроядра — вместо приложений и сервисов работают полновесные ОС.
     
     
  • 4.20, ананим (?), 06:36, 21/09/2011 [^] [^^] [^^^] [ответить]  
  • +/
    У каждой из которых (к примеру) своё дисковое пространство со своим (возможно временным - существующим только в момент выполнения) рутом.
    И это только один пример. А там ещё и сокеты, и ipc
     
     
  • 5.25, Аноним (-), 12:15, 21/09/2011 [^] [^^] [^^^] [ответить]  
  • +/
    > У каждой из которых (к примеру) своё дисковое пространство со своим (возможно
    > временным - существующим только в момент выполнения) рутом.
    > И это только один пример. А там ещё и сокеты, и ipc

    Т.е. модель безопасности как в WP7. Спасибо, понял.

     
     
  • 6.28, Аноним (-), 15:53, 21/09/2011 [^] [^^] [^^^] [ответить]  
  • +/
    > Т.е. модель безопасности как в WP7. Спасибо, понял.

    У WP7 есть один важный минус: вы не контролируете это. А контролирует майкрософт. И вот уже защита легко становится кутузкой, защищающей девайс ... от пользователя. Пользователь надежно огорожен от возможности порулить СВОИМ девайсом. Как мило. Любители садомазо одобряют.

     
  • 6.38, ананим (?), 19:27, 21/09/2011 [^] [^^] [^^^] [ответить]  
  • +/
    >Т.е. модель безопасности как в WP7. Спасибо, понял.

    х/з. WP7 не интересуюсь.
    а после вашего комментария тем более - зачем мне это в телефоне?

     
  • 2.15, Аноним (-), 05:46, 21/09/2011 [^] [^^] [^^^] [ответить]  
  • +/
    > А чем им не понравилась концепция микроядерности?

    Рассматривайте гипервизор XEN как небольшое ядро, а операционки как некие метазадачи оного ядра. И поймете что идея довольно похожая. Просто в real-world инкарнации сие выглядит иначе чем это представляли себе академики натирающие мозоли на руках по поводу микроядер. Если микроядро нихрена не умеет - ну и незачем ему быть полноценной ОС тогда. Вроде бы логично.

     
     
  • 3.22, Аноним (-), 08:52, 21/09/2011 [^] [^^] [^^^] [ответить]  
  • +2 +/
    >А что, мсье уже на раз прошибает Qubes и поломал Рутковску вплоть до получения рута в управляющем домене XEN?

    А что, мсье уже на раз прошибает Qubes и поломал Рутковску вплоть до получения согласияk на брак с ней?

    fixed

     

  • 1.24, СуперАноним (?), 12:13, 21/09/2011 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Молодец тётка - нужное дело делает. Уважуха. Через 5 лет без идей, заложенных в её ОС, в инет будет невозможно лазить.
     
     
  • 2.27, коксюзер (?), 14:45, 21/09/2011 [^] [^^] [^^^] [ответить]  
  • +/
    > Молодец тётка - нужное дело делает. Уважуха. Через 5 лет без идей,
    > заложенных в её ОС, в инет будет невозможно лазить.

    В основном дело делают другие члены команды Qubes. Рутковска по большей части пиарится и вводит неспециалистов в заблуждение. Вот здесь можно почитать о недостатках Qubes и кое-о-чём ещё: http://seclists.org/dailydave/2010/q3/29

     
     
  • 3.30, Аноним (-), 16:01, 21/09/2011 [^] [^^] [^^^] [ответить]  
  • +/
    > В основном дело делают другие члены команды Qubes. Рутковска по большей части
    > пиарится и вводит неспециалистов в заблуждение.

    Ну она пиарится но согласись, blue pill красив и вообще, эта особа более-менее в теме.

    > Вот здесь можно почитать о недостатках Qubes и кое-о-чём
    > ещё: http://seclists.org/dailydave/2010/q3/29

    Я бы в случае истинной паранои подумал о выносе иксов в отдельный domU c пробросом pci-девайса видеокарты в него. Если уж паранойить - так хардкорно.

     
     
  • 4.33, коксюзер (?), 17:11, 21/09/2011 [^] [^^] [^^^] [ответить]  
  • +/
    Средства проникновения и средства защиты - это две разные специализации Пример ... большой текст свёрнут, показать
     

  • 1.26, жабабыдлокодер (ok), 12:43, 21/09/2011 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Штука-то интересная. А как насчет накладных расходов? Тут вот нам, жабабыдлокодерам все тыкают, что ява тормозит и память жрет. Я себе представил окружение с десятком работающих виртуалок, так заранее нехорошо стало.
     
     
  • 2.31, Аноним (-), 16:02, 21/09/2011 [^] [^^] [^^^] [ответить]  
  • +/
    > Штука-то интересная. А как насчет накладных расходов?

    Как бы системные требования намекают, да...

     

  • 1.32, vi (?), 17:06, 21/09/2011 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Почему не KVM? Или я немного (или много) не в теме. Спасибо.
     
     
  • 2.34, коксюзер (?), 17:15, 21/09/2011 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > Почему не KVM? Или я немного (или много) не в теме. Спасибо.

    Виртуализация вообще в текущей её ипостаси непригодна для защиты посредством изоляции, а KVM и вовсе является самым уязвимым (плохо написанным) из распространённых гипервизоров за всю историю их существования. Посмотрите его security track record.

     
     
  • 3.35, vi (?), 17:29, 21/09/2011 [^] [^^] [^^^] [ответить]  
  • +/
    Спасибо. Где порекомендуете посмотреть (именно порекомендуете (без обсуждения), ибо в поисковике и сам смогу набрать запрос).
     
     
  • 4.36, коксюзер (?), 17:49, 21/09/2011 [^] [^^] [^^^] [ответить]  
  • +/
    > Спасибо. Где порекомендуете посмотреть (именно порекомендуете (без обсуждения), ибо в
    > поисковике и сам смогу набрать запрос).

    Здесь: http://secunia.com/advisories/product/17812/?task=advisories

    И свежачок в деталях: http://blog.nelhage.com/2011/08/breaking-out-of-kvm/

     
     
  • 5.39, ананим (?), 19:45, 21/09/2011 [^] [^^] [^^^] [ответить]  
  • +/
    да во всех случается.
    в xen поменьше - http://www.cvedetails.com/vulnerability-list/vendor_id-6276/XEN.html
    в Hyper-V пожалуй больше всех http://cvedetails.com/google-search-results.php?cx=partner-pub-95974431573211
    с эксплоитами
    http://vmblog.com/archive/2011/04/12/microsoft-hyper-v-exploit-and-wi-fi-spoo
     

  • 1.42, Аноним (-), 22:02, 22/09/2011 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    Уж намного проще использовать контейнеры типа OpenVZ
     
     
  • 2.43, коксюзер (?), 00:26, 23/09/2011 [^] [^^] [^^^] [ответить]  
  • +/
    > Уж намного проще использовать контейнеры типа OpenVZ

    Они реализованы на уровне гораздо более уязвимого ядра.

     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Спонсоры:
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2020 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру