The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Кандидат в релизы дистрибутива Qubes, использующего Xen для изоляции приложений

23.07.2012 13:53

Представлен кандидат в релизы Linux-дистрибутива Qubes, реализующего идею строгой изоляции приложений и компонентов ОС с задействованием системы виртуализации Xen. Приложения в Qubes разделены на классы в зависимости от важности обрабатываемых данных и решаемых задач, каждый класс приложений, а также системные сервисы (сетевая подсистема, работа с хранилищем и т.п.), работают в отдельных виртуальных машинах. При этом указанные приложения бесшовно доступны в рамках одного рабочего стола и выделяются для наглядности разным цветом обрамления окна. Каждое окружение имеет доступ на чтение к базовой корневой ФС и локальному хранилищу, не пересекающемуся с хранилищами других окружений, для организации взаимодействия приложений используется специальный сервис.

Представленная версия является последним тестовым выпуском перед финальным релизом Qubes 1.0, который ожидается в течение нескольких недель. Для загрузки доступен установочный образ, размером 1.5 Гб. Для работы Qubes необходима система с 4 Гб ОЗУ, 64-разрядным CPU Intel или AMD, желательно с поддержкой технологий VT-d или AMD IOMMU. Из графических карт в полной мере поддерживается только Intel GPU, при использовании NVIDIA наблюдаются проблемы, а работа карт AMD/ATI не протестирована.

По сравнению с третьей бета-версией в Qubes 1.0-RC1 отмечаются следующие улучшения:

  • Значительно улучшенный конфигуратор Qubes Manager, позволяющий настраивать и управлять работой большинства подсистем Qubes через простой GUI-интерфейс;
  • Содержимое виртуальных машин генерируется на основе шаблона, построенного на пакетной базе Fedora 17. В качестве ядра Linux задействована версия 3.2.7-pvops с улучшенной поддержкой оборудования и управления питанием;
  • Почищены и переработны инструменты командной строки, как для Dom0, так и для виртуальных машин;
  • Переработано меню, добавлены новые пиктограммы, по которым, например, легче отличить бразуер для работы с платёжными системами от браузера для обычной навигации по сайтам;
  • Поддержка yum-прокси для ускорения распространения обновлений внутри виртуальных машин без предоставления доступа к HTTP в данных окружениях;
  • Поддержка возможности запуска выбранных виртуальных машин в полноэкранном режиме.


  1. Главная ссылка к новости (http://theinvisiblethings.blog...)
  2. OpenNews: Третий бета-выпуск дистрибутива Qubes, использующего Xen для изоляции приложений
  3. OpenNews: Qubes - новая безопасная операционная система на базе Linux и Xen
  4. OpenNews: Вторая бета-версия безопасной операционной системы Qubes OS, созданной на базе Linux и Xen
  5. OpenNews: Началось бета-тестирование безопасного Linux-дистрибутива Qubes OS
  6. OpenNews: В безопасной ОС Qubes будет добавлена поддержка одноразовых изолированных окружений
Лицензия: CC-BY
Тип: Программы
Короткая ссылка: https://opennet.ru/34391-qubes
Ключевые слова: qubes, virtual
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение (57) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, бедный буратино (ok), 13:54, 23/07/2012 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Разве это нельзя сделать через lxc? Без:

    > необходима система с 4 Гб ОЗУ, 64-разрядным CPU Intel или AMD, желательно с поддержкой технологий VT-d или AMD IOMMU.

     
     
  • 2.2, Ph0zzy (ok), 14:10, 23/07/2012 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Про голубую пилюлю Рутковской слашал? вот этот дистрибутив разрабатывается как имющий к ней имунитет.
     
     
  • 3.4, бедный буратино (ok), 14:53, 23/07/2012 [^] [^^] [^^^] [ответить]  
  • +/
    Девушка своим антивирусом свой вирус рекламирует? :) Оригинально.
     
     
  • 4.31, Аноним (-), 21:54, 23/07/2012 [^] [^^] [^^^] [ответить]  
  • +/
    > Девушка своим антивирусом свой вирус рекламирует? :) Оригинально.

    А это не антивирус. Это система ориентированная на высокую культуру быта^W^W безопасность.

     
     
  • 5.53, коксюзер (?), 08:55, 26/07/2012 [^] [^^] [^^^] [ответить]  
  • +/
    >> Девушка своим антивирусом свой вирус рекламирует? :) Оригинально.
    > А это не антивирус. Это система ориентированная на высокую культуру быта^W^W безопасность.

    В этой системе авторы сосредоточились на единственной идее изоляции для локализации потенциального вреда в случае взлома изолированных приложений. Для усиления защиты самих приложений не сделано ничего, по сравнению с любым обычным дистрибутивом линукса. То есть, если вас успокаивает мысль, что взломавшие ваш почтовый клиент сольют только вашу почту, Qubes для вас. Если предпочитаете предотвратить взлом, смотрите в сторону Hardened Gentoo, Openwall (ядро с Grsecurity придётся собрать самостоятельно) и Alpine (серверный дистрибутив).

    Кстати, недавняя уязвимость к повышению привилегий в Xen должна расставить все точки над i в случае Qubes для тех, кто ещё сомневался.

     
  • 3.9, Аноним (-), 15:28, 23/07/2012 [^] [^^] [^^^] [ответить]  
  • +/
    Этого можно добиться и без ксенокостылей
     
     
  • 4.13, Аноним (-), 17:31, 23/07/2012 [^] [^^] [^^^] [ответить]  
  • +/
    > Этого можно добиться и без ксенокостылей

    Опенвзкостылями?

     
  • 2.12, Аноним (-), 17:31, 23/07/2012 [^] [^^] [^^^] [ответить]  
  • +/
    > Разве это нельзя сделать через lxc? Без:

    Нельзя. По словам самих разработчиков LXC, он совершенно не готов для серьезного использования, т.к. рут из контейнера имеет полные полномочия на хосте.

     
     
  • 3.21, Аноним (-), 17:52, 23/07/2012 [^] [^^] [^^^] [ответить]  
  • –2 +/
    > рут из контейнера имеет полные полномочия на хосте.

    Вас обманули. Или вы из какой-то криокамеры выползли. Там уже немало времени как реализован fake root, если что. Который на host - конь в пальто.

     
     
  • 4.24, Аноним (-), 20:00, 23/07/2012 [^] [^^] [^^^] [ответить]  
  • +/
    > Вас обманули. Или вы из какой-то криокамеры выползли. Там уже немало времени как реализован fake root, если что. Который на host - конь в пальто.

    Его с 2009 года собираются реализовать, но так и не осилили.

     
     
  • 5.28, Аноним (-), 21:43, 23/07/2012 [^] [^^] [^^^] [ответить]  
  • +/
    > Его с 2009 года собираются реализовать, но так и не осилили.

    Вообще-то осилили, уже энное время как.

     
     
  • 6.34, Аноним (-), 23:27, 23/07/2012 [^] [^^] [^^^] [ответить]  
  • +/
    > Вообще-то осилили, уже энное время как.

    Пруф?

     
     
  • 7.38, Аноним (-), 23:37, 23/07/2012 [^] [^^] [^^^] [ответить]  
  • +/
    > Пруф?

    Новость на опеннете про одно из ядер.

     
     
  • 8.40, Аноним (-), 23:54, 23/07/2012 [^] [^^] [^^^] [ответить]  
  • +/
    Замечательно А пруф будет ... текст свёрнут, показать
     
     
  • 9.54, коксюзер (?), 08:57, 26/07/2012 [^] [^^] [^^^] [ответить]  
  • +/
    Не будет, потому что из всех запланированных ограничений user namespaces реализо... текст свёрнут, показать
     
  • 4.37, Аноним (-), 23:34, 23/07/2012 [^] [^^] [^^^] [ответить]  
  • +/
    > Вас обманули. Или вы из какой-то криокамеры выползли. Там уже немало времени как реализован fake root, если что. Который на host - конь в пальто.

    Да неужели? С каких это пор LXCовый рут потерял право писать любую фигню в sysctl хоста, например?

     
     
  • 5.47, Аноним (-), 13:24, 24/07/2012 [^] [^^] [^^^] [ответить]  
  • +/
    > Да неужели? С каких это пор LXCовый рут потерял право писать любую
    > фигню в sysctl хоста, например?

    С таких с каких он не является настоящим рутом, очевидно.

     
     
  • 6.55, коксюзер (?), 08:59, 26/07/2012 [^] [^^] [^^^] [ответить]  
  • +/
    >> Да неужели? С каких это пор LXCовый рут потерял право писать любую
    >> фигню в sysctl хоста, например?
    > С таких с каких он не является настоящим рутом, очевидно.

    http://www.openwall.com/lists/oss-security/2011/10/26/11

     
  • 2.16, Аноним (-), 17:39, 23/07/2012 [^] [^^] [^^^] [ответить]  
  • +7 +/
    >  Разве это нельзя сделать через lxc?

    Можно, но уровень изоляции будет хуже чем у "руткитской" и ее дистра. Понимаешь, человек написавший Blue Pill уже никогда не сможет согласиться на компромисс. В каком-то роде это правильно. Настоящий спец по безопасности - истинный параноик в чистом виде.

     
     
  • 3.45, Аноним (-), 07:38, 24/07/2012 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > Настоящий спец по безопасности - истинный параноик в чистом виде.

    Люто, бешенно, неистово плюсую.

     
  • 3.56, коксюзер (?), 09:04, 26/07/2012 [^] [^^] [^^^] [ответить]  
  • +/
    >>  Разве это нельзя сделать через lxc?
    > Можно, но уровень изоляции будет хуже чем у "руткитской" и ее дистра.
    > Понимаешь, человек написавший Blue Pill уже никогда не сможет согласиться на
    > компромисс. В каком-то роде это правильно. Настоящий спец по безопасности -
    > истинный параноик в чистом виде.

    Они до сих пор живут с компромиссами в Qubes, поскольку до сих пор не реализован ни один из механизмов защиты гипервизора, предложенных их же командой.

     
  • 2.52, коксюзер (?), 08:33, 26/07/2012 [^] [^^] [^^^] [ответить]  
  • +/
    > Разве это нельзя сделать через lxc? Без:

    LXC по состоянию на сегодняшний день не предназначен и непригоден для безопасной изоляции (хотя бы на уровне Xen).

     

  • 1.3, meequz (ok), 14:20, 23/07/2012 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Интересно, интегрируют ли в финальный релиз seccomp filter.
     
     
  • 2.17, Аноним (-), 17:45, 23/07/2012 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > Интересно, интегрируют ли в финальный релиз seccomp filter.

    Да, в каждой виртуалке надо еще вынос каждого процесса в свой LXC контейнер настроить а там дополнительно придушить половину доступа через selinux, yama, seccomp_filter и прочая, не забыв подхачить половину сисколов через LD_PRELOAD. Разумеется не забыв заменить половину системных утилит на какие-нибудь лулзы.

    И главное - не забыть посмотреть на офигевшую морду хакера который долго не будет понимать что же это за фигня такая странная.

     

  • 1.5, Anonim (??), 14:58, 23/07/2012 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Представляю как взломщик офигеет попав в систему ))
     
     
  • 2.6, бедный буратино (ok), 15:05, 23/07/2012 [^] [^^] [^^^] [ответить]  
  • +4 +/
    Там для взломщика, наверное, своя отдельная система. Где заботливо развешаны цветочки в терминале, красивый коврик, и можно даже в angband поиграть. :) Можно даже особо такую поддельную виртуалку не защищать, просто ресурсы залимитировать.
     
     
  • 3.18, Аноним (-), 17:46, 23/07/2012 [^] [^^] [^^^] [ответить]  
  • +4 +/
    > даже особо такую поддельную виртуалку не защищать, просто ресурсы залимитировать.

    Ну взломшик скорее всего отправит кучу спама или хакнет кого-то. А пилюли - тебе, ибо с твоего айпи :)

     

  • 1.7, Михрютка (?), 15:11, 23/07/2012 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    >We do not provide OpenGL virtualization for AppVMs.
    >However, Qubes allows for use of accelerated graphics (OpenGL) in Dom0’s Window Manager, so all the fancy desktop effects should still work under Qubes.

    опаньки. что ж там запускать, кроме браузера и офиса?

     
     
  • 2.15, Аноним (-), 17:34, 23/07/2012 [^] [^^] [^^^] [ответить]  
  • +4 +/
    >>We do not provide OpenGL virtualization for AppVMs.
    >>However, Qubes allows for use of accelerated graphics (OpenGL) in Dom0’s Window Manager, so all the fancy desktop effects should still work under Qubes.
    > опаньки. что ж там запускать, кроме браузера и офиса?

    А что, вам нужен высокий уровень безопасности, чтобы играть в игры? Боитесь, что L4D сопрет ваши сейвы из крайзиса?

     
     
  • 3.33, Михрютка (?), 22:55, 23/07/2012 [^] [^^] [^^^] [ответить]  
  • +/
    >>>We do not provide OpenGL virtualization for AppVMs.
    >>>However, Qubes allows for use of accelerated graphics (OpenGL) in Dom0’s Window Manager, so all the fancy desktop effects should still work under Qubes.
    >> опаньки. что ж там запускать, кроме браузера и офиса?
    > А что, вам нужен высокий уровень безопасности, чтобы играть в игры? Боитесь,
    > что L4D сопрет ваши сейвы из крайзиса?

    в душе ниипу что такое L4D. Может, L3D? И это, неужели же ж OpenGL под линуксом нигде, кроме игр, не используют? А то мне в соседних тредах рассказывали про всякие кады, блендеры-шмендеры...

     
     
  • 4.36, Аноним (-), 23:31, 23/07/2012 [^] [^^] [^^^] [ответить]  
  • +/
    > А то мне в соседних тредах рассказывали про всякие кады, блендеры-шмендеры...

    Их лучше запускать под виндой, так безопаснее.

     
  • 2.19, Аноним (-), 17:47, 23/07/2012 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > опаньки. что ж там запускать, кроме браузера и офиса?

    Ну не гамезы же. Вообще, тем кому крутая секурити нужна - гамезы как-то ни к чему особо.

     

  • 1.8, Аноним (-), 15:14, 23/07/2012 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    >каждый класс приложений, а также системные сервисы (сетевая подсистема, работа с хранилищем и т.п.), работают в отдельных виртуальных машинах.

    Вот что бывает, когда на кухне установлен компьютер.

     
     
  • 2.26, Аноним (-), 20:05, 23/07/2012 [^] [^^] [^^^] [ответить]  
  • +/
    >>каждый класс приложений, а также системные сервисы (сетевая подсистема, работа с хранилищем и т.п.), работают в отдельных виртуальных машинах.
    > Вот что бывает, когда на кухне установлен компьютер.

    Да-да. Пожалуйста, срочно перестаньте писать комменты на форумах. Вместо этого лучше готовьте борщ, а то муж скоро с работы придет.

     
  • 2.29, Аноним (-), 21:51, 23/07/2012 [^] [^^] [^^^] [ответить]  
  • +/
    > Вот что бывает, когда на кухне установлен компьютер.

    Да, всякие овощи пишут на форумы :(. Вот вы например.

     
     
  • 3.32, Аноним (-), 22:48, 23/07/2012 [^] [^^] [^^^] [ответить]  
  • +/
    Аж два раза запостила. :))
     
     
  • 4.51, Аноним (-), 16:14, 24/07/2012 [^] [^^] [^^^] [ответить]  
  • +/
    > Аж два раза запостила. :))

    Вас глючит - в этом треде нет повторных постов.

     
  • 4.57, Аноним (-), 14:06, 26/07/2012 [^] [^^] [^^^] [ответить]  
  • +/
    > Аж два раза запостила. :))

    Вас глючит - в этом треде нет повторных постов.

     

  • 1.10, matrix (??), 15:43, 23/07/2012 [ответить] [﹢﹢﹢] [ · · · ]  
  • –4 +/
    Это вообще нафига,и кто будет этим пользоваться?
    Костыль на костыле.
     
     
  • 2.22, ыгчч (?), 18:26, 23/07/2012 [^] [^^] [^^^] [ответить]  
  • –4 +/
    > Это вообще нафига,и кто будет этим пользоваться?

    Три с половиной параноика.

    > Костыль на костыле.

    Лучшая безопасность это когда вообще нихрена не работает.

     
     
  • 3.42, Аноним (-), 23:57, 23/07/2012 [^] [^^] [^^^] [ответить]  
  • +/
    > Лучшая безопасность это когда вообще нихрена не работает.

    Шindoшs - самая безопасная ОС!

     

  • 1.11, lucentcode (ok), 17:31, 23/07/2012 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Почему Xen? Чем им KVM не угодил? Он же лучше?
     
     
  • 2.14, Аноним (-), 17:33, 23/07/2012 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Почему Xen? Чем им KVM не угодил? Он же лучше?

    Рутковская как-то писала подробную объясниловку, что KVM очень дырявый и небезопасный по сравнению с Xen.

     
  • 2.20, Аноним (-), 17:49, 23/07/2012 [^] [^^] [^^^] [ответить]  
  • +/
    > Почему Xen? Чем им KVM не угодил? Он же лучше?

    А тут все просто: xen меньше по размеру и стало быть в нем багов теоретически поменьше. Для истинного, элитного параноика в плане безопасности и это - тоже аргумент. Технически вполне валидный, в принципе.

    Понимаете, это попытка создать high-security окружение. В нем подходы ко всему и вся - довольно своеобразные.

     
     
  • 3.43, saNdro (?), 01:07, 24/07/2012 [^] [^^] [^^^] [ответить]  
  • +/
    Что, выносной гипервизор уже стал меньше ядерного модуля? Или вы к KVM приплюсовываете всё остальное ядро? Тогда уж и к ксину тоже будте любезны. Или вы его можете уже без дом0 запускать? Этакого сферического ксена в оперативке?
     
     
  • 4.44, Аноним (-), 04:52, 24/07/2012 [^] [^^] [^^^] [ответить]  
  • +/
    Да. Да. Нет. Можем.

    Ты бы погуглил вначале про что вообще идет речь, прежде чем распускать нубские слюни.

     
  • 4.48, Аноним (-), 13:35, 24/07/2012 [^] [^^] [^^^] [ответить]  
  • +/
    > Что, выносной гипервизор уже стал меньше ядерного модуля? Или вы к KVM
    > приплюсовываете всё остальное ядро?

    Это не я приписываю а руткитска. В конечном итоге арбитраж ресурсов в xen осуществляет все-таки мелкий гипервизор. А в kvm - linux ядро. Первый мельче, так что и багов в нем ожидается меньше.

    > Или вы его можете уже без дом0 запускать?

    Тут важнее кто и как разруливает арбитраж и кого и как надо хакать чтобы обойти лимиты. Ну и сколько какого кода где.

     

  • 1.23, Aceler (ok), 19:48, 23/07/2012 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Интересно попробовать такой подход с другой точки зрения — с точки зрения написания Абсолютно Переносимых Приложений — т.е. приложений, которые будут работать в любой ОС и любой среде, предоставившей Xen-виртуализацию.
     
     
  • 2.25, Аноним (-), 20:03, 23/07/2012 [^] [^^] [^^^] [ответить]  
  • +/
    > Интересно попробовать такой подход с другой точки зрения — с точки зрения
    > написания Абсолютно Переносимых Приложений — т.е. приложений, которые будут работать
    > в любой ОС и любой среде, предоставившей Xen-виртуализацию.

    Такой подход уже давно реализован, причем неоднократно. Самая известная реализация - Java.

     
     
  • 3.27, СуперАноним (?), 20:53, 23/07/2012 [^] [^^] [^^^] [ответить]  
  • +/
    iZEN, добрый вечер!
     
  • 3.30, Аноним (-), 21:53, 23/07/2012 [^] [^^] [^^^] [ответить]  
  • +/
    > Такой подход уже давно реализован, причем неоднократно. Самая известная реализация - Java.

    Обойти песочницу "отдельная система в гипервизоре" сложнее чем "виртуальная машина + рантайм-переросток". Вы сравните размер xen и явы с ее рантаймами. И поймете во сколько раз чаще в яве будет хрень вида "краплет может вылезти из песочницы и выполнить в системе любые действия с правами текущего юзера".


     
     
  • 4.35, Аноним (-), 23:30, 23/07/2012 [^] [^^] [^^^] [ответить]  
  • +/
    > Обойти песочницу "отдельная система в гипервизоре" сложнее чем "виртуальная машина + рантайм-переросток".
    > Вы сравните размер xen и явы с ее рантаймами. И поймете
    > во сколько раз чаще в яве будет хрень вида "краплет может
    > вылезти из песочницы и выполнить в системе любые действия с правами
    > текущего юзера".

    Xen с установленным внутри полноценным линуксом будет весить явно больше жабовского рантайма.
    А если к нему прикрутить функции IPC, работы с диском и сетью и прочие фичи, необходимые большинству приложений - возможности вырваться резко возрастут.

     
     
  • 5.49, Аноним (-), 13:37, 24/07/2012 [^] [^^] [^^^] [ответить]  
  • +/
    > Xen с установленным внутри полноценным линуксом будет весить явно больше жабовского рантайма.

    Не обязательно - сильно зависит от линукса и чего туда напихать. Ну и скорость практически равна нативному коду т.к. нативный код и выполняется, проц не вмешивается покуда нет исключительных ситуаций.

    > А если к нему прикрутить функции IPC, работы с диском и сетью
    > и прочие фичи, необходимые большинству приложений - возможности вырваться резко возрастут.

    Вы так говорите как будто их там нет или как будто у явы этого нет или это не так. А сеть - что сеть? Вон стоит пачка линуксных хостов с жирным интернетом и кучей ресурсов. Что ж их еще не раздолбали?

     
  • 3.39, Aceler (ok), 23:45, 23/07/2012 [^] [^^] [^^^] [ответить]  
  • +/
    >> Интересно попробовать такой подход с другой точки зрения — с точки зрения
    >> написания Абсолютно Переносимых Приложений — т.е. приложений, которые будут работать
    >> в любой ОС и любой среде, предоставившей Xen-виртуализацию.
    > Такой подход уже давно реализован, причем неоднократно. Самая известная реализация - Java.

    Спасибо, кэп. Но тут неуправляемый код. И куда меньше проблем с взаимодействием за пределами VM.

     
     
  • 4.41, Аноним (-), 23:56, 23/07/2012 [^] [^^] [^^^] [ответить]  
  • +/
    > Спасибо, кэп. Но тут неуправляемый код. И куда меньше проблем с взаимодействием за пределами VM.

    Рутковская приложила значительные усилия, чтобы код _имел_ возможность взаимодействия (и создания проблем) за пределами VM. И, очевидно, будет работать в этом направлении и дальше. Потому что в 99% полностью изолированная программа - бесполезна.

     
     
  • 5.50, Аноним (-), 13:38, 24/07/2012 [^] [^^] [^^^] [ответить]  
  • +/
    > чтобы код _имел_ возможность взаимодействия (и создания проблем)

    "В случае аварии - выдерни шнур, выдави стекло" :)

     
  • 3.46, TS (ok), 13:10, 24/07/2012 [^] [^^] [^^^] [ответить]  
  • +/
    Мммм... АПИ/АБИ все равно какое то нужно, не реализовывать же все заново в каждой программе?
    А частные случаи уже есть - например http://erlangonxen.org/
     
     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Спонсоры:
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2020 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру