The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Началось тестирование ОС Qubes 2, использующей Xen для изоляции приложений

14.12.2012 19:31

Йоанна Рутковская (Joanna Rutkowska) сообщила о начале бета-тестирования операционной системы Qubes 2, реализующей идею строгой изоляции приложений и компонентов ОС с задействованием системы виртуализации Xen. Для загрузки доступен установочный образ, размером 1.8 Гб. Для работы Qubes необходима система с 4 Гб ОЗУ, 64-разрядным CPU Intel или AMD, желательно с поддержкой технологий VT-x/AMD-v и VT-d/AMD IOMMU. Из графических карт в полной мере поддерживается только карты Intel, при использовании NVIDIA наблюдаются проблемы, а работа карт AMD/ATI не протестирована.

Приложения в Qubes разделены на классы в зависимости от важности обрабатываемых данных и решаемых задач, каждый класс приложений, а также системные сервисы (сетевая подсистема, работа с хранилищем и т.п.), работают в отдельных виртуальных машинах. При этом указанные приложения бесшовно доступны в рамках одного рабочего стола и выделяются для наглядности разным цветом обрамления окна. Каждое окружение имеет доступ на чтение к базовой корневой ФС и локальному хранилищу, не пересекающемуся с хранилищами других окружений, для организации взаимодействия приложений используется специальный сервис. Подробнее с особенностями системы можно познакомиться в анонсе первого выпуска Qubes.

Из добавленных в Qubes 2 улучшений можно отметить:

  • Поддержка полностью виртуализированных AppVM, в которых могут быть запущены произвольные немодифицированные ОС, для запуска которых применяется режим HVM (режим полной аппаратной виртуализации, не требующий установки паравиртуальных драйверов). Создание полностью виртуализированных AppVM производится по аналогии с установкой системы в обычную виртуальную машину;
  • Начальная поддержка интеграции AppVM с Windows, что позволяет организовать выполнение Windows приложений в окружении Qubes. Для обеспечения полной интеграции Windows-окружений с Qubes предлагается специальный проприетарный инструментарий и набор драйверов для Windows 7, позволяющий работать с Windows-программами как с другими приложениями рабочего стола Qubes. Например, обеспечена работа единого буфера обмена, организован доступ к внешним файлам, произведена интеграция с сетевой подсистемой. В настоящее время все Windows программы запускаются в одном окне, связанном с виртуальной машиной, но в будущих бета-версиях планируется обеспечить бесшовный запуск Windows-приложений в отдельных окнах;
  • Поддержка безопасного доступа выбранных AppVMs к звуковой подсистеме;
  • Централизованные средства контроля доступа к буферу обмена;
  • Поддержка TorVM, построенной на базе NetVM прослойки, в которой весь трафик принудительно перенаправляется через анонимайзер Tor;
  • Экспериментальная поддержка PVUSB для упрощения доступа к USB-устройствам из виртуальных окружений;
  • Обновлены компоненты графического стека в Dom0, обеспечена поддержка новых GPU;
  • Поддержка кастомизации DisposoableVM.


  1. Главная ссылка к новости (http://theinvisiblethings.blog...)
  2. OpenNews: Первый релиз операционной системы Qubes, использующей Xen для изоляции приложений
Лицензия: CC-BY
Тип: Программы
Короткая ссылка: https://opennet.ru/35608-virtual
Ключевые слова: virtual, qubes
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение (17) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.2, Аноним (-), 20:40, 14/12/2012 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Интересно, чем это подход лучше чем JavaOS (Microsoft Singularity) + приложения на управляемом коде? Сама VM бы отслеживала уровень доступа к ресурсам + не пришлось бы городить несколько уровней абстракции.
     
     
  • 2.3, Xasd (ok), 20:49, 14/12/2012 [^] [^^] [^^^] [ответить]  
  • +1 +/
    да уж -- как не крути -- а перекомпиляция -- наверно самый верный способ (и вмеру простой :)).

    а запускать заведомо скомпилированный машинный код -- никаких гипервизиров не хватит чтобы отгораживать это от всех аппаратных багов процессоров.

     

  • 1.4, Аноним (-), 21:37, 14/12/2012 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    А смотреть FullHD видео и иметь аппаратную поддержку OpenGL на этой штуке можно?
     
     
  • 2.5, pro100master (ok), 22:56, 14/12/2012 [^] [^^] [^^^] [ответить]  
  • –1 +/
    а что, пропускная способность современных гипервизоров ниже 10 мебибайт/с?
     

  • 1.7, Аноним (-), 00:39, 15/12/2012 [ответить] [﹢﹢﹢] [ · · · ]  
  • +5 +/
    Если
    > Rutkowska
    > Рутковская

    То обзовите даму просто Яной.

     
     
  • 2.17, Митра (?), 18:39, 16/12/2012 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Скорее уж Жанна.
     
     
  • 3.18, Аноним (-), 19:14, 16/12/2012 [^] [^^] [^^^] [ответить]  
  • +/
    а может Иоанна или Джоана? Жанна вообще в списке последних должна быть
     

  • 1.8, Аноним (-), 02:22, 15/12/2012 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Огород в огороде. Смысл таков, что множество огородов соседствуют друг с другом разделенные невидимым забором. Просто смотрится это так, повышения безопасности путем усложнения взаимодействия задач между собой. Но технически все это работает на одной машине управляемой Xen.

    Иными словами ничего особенного Qubes из себя, не представляет. Подобный подход, уже неоднократно обсуждали и уже давно забыли, но как видно забыли еще не все.

     
     
  • 2.11, Anton (??), 13:48, 15/12/2012 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Спасибо, за, объяснения.
    Наверное, Цветы, для, Элджернона, прочли, недавно?
     
     
  • 3.13, Аноним (-), 15:39, 15/12/2012 [^] [^^] [^^^] [ответить]  
  • +/
    > Спасибо, за, объяснения.
    > Наверное, Цветы, для, Элджернона, прочли, недавно?

    Нет, что вы ждал вашего компетентного троллинга.

    Если вам все же непонятно, о чем конкретно идет речь, посмотрите на модель разработки браузера от гугл.

     

  • 1.12, 3draven (?), 15:16, 15/12/2012 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Вообще то...вполне вероятно выстрелит. Я пользую виртуалбокс и очень неудобно не иметь интеграции рабочего стола (полной и бесшовной). С удовольствием бы поставил линь и вынь в виртуалки и сшил друг с другом что бы забыть о "ОС" как таковых. Идея поделия вполне себе...ОС становятся просто программами, которые ставятся в общей среде как и остальные. Такое решение (при достаточной скорости работы) лучше виртуалки в виде программы.
     
     
  • 2.20, XoRe (ok), 19:05, 17/12/2012 [^] [^^] [^^^] [ответить]  
  • +/
    > Вообще то...вполне вероятно выстрелит. Я пользую виртуалбокс и очень неудобно не иметь
    > интеграции рабочего стола (полной и бесшовной). С удовольствием бы поставил линь
    > и вынь в виртуалки и сшил друг с другом что бы
    > забыть о "ОС" как таковых. Идея поделия вполне себе...ОС становятся просто
    > программами, которые ставятся в общей среде как и остальные. Такое решение
    > (при достаточной скорости работы) лучше виртуалки в виде программы.

    Все это хорошо, только очень большие накладные расходы, особенно на винде.
    5 виртуалок с windows7 займут дофига на жестком диске, плюс откушают много оперативки.
    Потом каждую нужно будет обновлять и т.д.

     

  • 1.14, svcunion (?), 18:30, 15/12/2012 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Для какого - либо мнения маловато данных. Например, на рекомендованных - минимальных 64-разрядным CPU Intel или AMD, желательно с поддержкой технологий VT-x/AMD-v и VT-d/AMD IOMMU\4G что, сколько можно реально завести?
    Это более чем странно, если конфиг выглядит как оффисная машинка среднего уровня.
    Какая тут может быть виртуализация? Может в ОС Qubes 2 какой-то прорыв?
     
     
  • 2.15, Аноним (-), 20:12, 15/12/2012 [^] [^^] [^^^] [ответить]  
  • +1 +/
    О каком прорыве речь?! Там простая версия федоры для десктопа, да на некоторые компоненты добавлены свои патчи, но они касаются самого Xen. Поддержка Vt-x и VT-d как раз последний поддерживается не всеми процессорами, что уже говорит о том, что это не для обычной офисной машинки. Память 4 ГБ, мало, вы же не просто хотите запустить ОС, но и пользоваться ею.

    Если бы в Qubes был какой то прорыв, он бы не остался без внимания.


     
     
  • 3.19, svcunion (?), 20:47, 16/12/2012 [^] [^^] [^^^] [ответить]  
  • +/
    Немного в теме "О виртуализации". Поэтому уверен на 4G, даже на Xen, едва ли удастся поднять приложения уровня MSOffice или LibreOffice. В самом деле не для картишек с блокнотом вся эта заваруха.
    Ну так сказали б надо Top CPU\ 64G ... Было б без вопросов.
    Мне думается Fedora не самый легкий дистр.
    Также не понятно, что у Intel по теме 3D.

    На http://wiki.qubes-os.org/trac/wiki/QubesScreenshots видно загрузка CPU + MEM - копейки.
    Оболочка KDE. Кроме Firefox ничего из нагрузки.

     

  • 1.16, Аноним (-), 12:05, 16/12/2012 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    > Для обеспечения полной интеграции Windows-окружений с Qubes предлагается специальный проприетарный инструментарий и набор драйверов

    ... содержащий ряд уязвимостей и закладок.

     
  • 1.21, freehck (ok), 15:53, 19/12/2012 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Интересно, а зачем они Xen используют?
    Для простого ограничения доступа приложений было бы вполне достаточно обычного chroot'а.
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Спонсоры:
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2020 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру