The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Кандидат в релизы дистрибутива Qubes R2, использующего Xen для изоляции приложений

21.04.2014 09:03

Йоанна Рутковская (Joanna Rutkowska) представила кандидат в релизы второго значительного выпуска операционной системы Qubes, реализующей идею строгой изоляции приложений и компонентов ОС с задействованием системы виртуализации Xen. Для загрузки доступен установочный образ, размером 3 Гб. Для работы Qubes необходима система с 4 Гб ОЗУ, 64-разрядным CPU Intel или AMD, желательно с поддержкой технологий VT-x/AMD-v и VT-d/AMD IOMMU. Из графических карт в полной мере поддерживается только карты Intel, при использовании NVIDIA наблюдаются проблемы, а работа карт AMD/ATI не протестирована.

Приложения в Qubes разделены на классы в зависимости от важности обрабатываемых данных и решаемых задач, каждый класс приложений, а также системные сервисы (сетевая подсистема, работа с хранилищем и т.п.), работают в отдельных виртуальных машинах. При этом указанные приложения бесшовно доступны в рамках одного рабочего стола и выделяются для наглядности разным цветом обрамления окна. Каждое окружение имеет доступ на чтение к базовой корневой ФС и локальному хранилищу, не пересекающемуся с хранилищами других окружений, для организации взаимодействия приложений используется специальный сервис. Подробнее с особенностями системы можно познакомиться в анонсе первого выпуска Qubes.

По сравнению с прошлым тестовым выпуском осуществлён перевод компонентов хост-окружения и гостевых систем на пакетную базу Fedora 20. Обеспечена поддержка загрузки полных шаблонов окружений через новые репозитории templates-itl и templates-community, которые позиционируются в качестве AppStore-каталогов виртуальных машин. В настоящее время предлагается только шаблон на основе Fedora 20, но в ближайшие недели число шаблонов планируется увеличить, например, будут добавлены шаблоны на основе Arch Linux и Debian. В проприетарном расширении Windows AppVM, нацеленном на обеспечение запуска приложений для платформы Windows, добавлена реализация режима обособленного десктопа с возможностью произвольного изменения размера окна, а также возможность переключения в режим бесшовного запуска Windows-программ на основном рабочем столе Qubes.

  1. Главная ссылка к новости (http://theinvisiblethings.blog...)
  2. OpenNews: Началось альфа-тестирование ОС Qubes 3, абстрагированной от типа гипервизора
  3. OpenNews: Вторая бета-версия ОС Qubes 2, использующей Xen для изоляции приложений
  4. OpenNews: Началось тестирование ОС Qubes 2, использующей Xen для изоляции приложений
  5. OpenNews: Первый релиз операционной системы Qubes, использующей Xen для изоляции приложений
Лицензия: CC-BY
Тип: Программы
Короткая ссылка: https://opennet.ru/39612-qubes
Ключевые слова: qubes
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение (31) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Аноним (-), 10:41, 21/04/2014 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Кто скажет, чем это лучше запуска приложений через Docker или lmctfy?
     
     
  • 2.7, Sabakwaka (ok), 11:32, 21/04/2014 [^] [^^] [^^^] [ответить]  
  • +/
    В отличие от любых «контейнеров», Qube предлагает изоляцию процессов в ОТДЕЛЬНЫХ, НЕЗАВИСИМЫХ, ИЗОЛИРОВАННЫХ КОПИЯХ ОС.

    Например, bash исполняется внутри собственной минимальной, JeOS, абсолютно самостоятельной системы.
    И, например, postfix исполняется внутри собственной минимальной, JeOS, абсолютно самостоятельной системы.

    И так далее.

     
     
  • 3.10, Аноним (-), 13:20, 21/04/2014 [^] [^^] [^^^] [ответить]  
  • +/
    А кто скажет, чем это лучше по сравнению с Role-Based Access Control?
     
     
  • 4.11, jOKer (ok), 14:23, 21/04/2014 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Это не лучше или хуже, - это просто разные вещи. Эффективная изоляция процессов вовсе не обозначает что доступом к ним не надо управлять, а ролевая модель доступа вполне годится для этого и может быть использована для этих целей в сабже. Гм.. хотя, конечно "может" не значит "используется", а сам сабж я не ковырял.
     
  • 3.15, Аноним (-), 18:16, 21/04/2014 [^] [^^] [^^^] [ответить]  
  • +/
    Так контейнеры вроде для того и создавались, чтобы не запускать целую ОС для изоляции отдельного приложения. Разве нет?
     
     
  • 4.16, Абибас (?), 18:33, 21/04/2014 [^] [^^] [^^^] [ответить]  
  • –1 +/
    А вот Qŭbes создан по иной идеологии — один процесс=одна целая ось.

    Postfix смотрит в Сеть и на этой его отдельной оси живы два порта: 25 и 443.
    И так далее.
    Аудит и харденинг изолируются, упрощаются, структурируются.

     
     
  • 5.20, Аноним (-), 20:43, 21/04/2014 [^] [^^] [^^^] [ответить]  
  • –4 +/
    > Аудит и харденинг изолируются, упрощаются, структурируются.

    Кстати, мне вот интересно, как вообще аудитить контейнеры, когда в Linux audit и LXC являются взаимоисключающими технологиями. На исправление рассчитывать не стоит - Торвальдсу проще опять все на Леннарта свалить.

     
  • 5.35, mirandauser2 (?), 02:42, 23/04/2014 [^] [^^] [^^^] [ответить]  
  • +/
    в контейнере тоже отдельный сетевой стек.
     
  • 4.21, Аноним (-), 20:45, 21/04/2014 [^] [^^] [^^^] [ответить]  
  • +/
    > Так контейнеры вроде для того и создавались, чтобы не запускать целую ОС
    > для изоляции отдельного приложения.

    Именно поэтому они и обеспечивают менее полную изоляцию. Это просто другая точка на шкале цены защита/оверхед.

     
  • 2.23, Аноним (-), 20:48, 21/04/2014 [^] [^^] [^^^] [ответить]  
  • +/
    > Кто скажет, чем это лучше запуска приложений через Docker или lmctfy?

    Лучше - выше степень изоляции (сложнее поиметь хости и другие программы при помощи дырок в ядре).
    Хуже - больше оверхед.

     
  • 2.33, XoRe (ok), 16:33, 22/04/2014 [^] [^^] [^^^] [ответить]  
  • +/
    > Кто скажет, чем это лучше запуска приложений через Docker или lmctfy?

    Виртуалку от контейнера отличаете?

     

  • 1.2, Пушистик (ok), 10:43, 21/04/2014 [ответить] [﹢﹢﹢] [ · · · ]  
  • –5 +/
    "Decent for antimalware or blocking accidental leaks between VMs. However, it's not designed for anonymity through and through. We'd probably have to do a similar amount of effort on it to whats already done with TAILs."

    Для анонимности в сети, к сожалению, не подходит.
    Дистр даёт только безопасность на машине, просто защита для программ.

     
     
  • 2.3, Я (??), 10:56, 21/04/2014 [^] [^^] [^^^] [ответить]  
  • +2 +/
    А что, все в Эдварды Сноудены подались? Просто безопасность уже не катит? Накати поверхвсего всего этого Tor и радуйся, только американские спецслужбы будут знать что ты в порнтубе смотришь.
     
     
  • 3.8, Степан Бандера (?), 11:32, 21/04/2014 [^] [^^] [^^^] [ответить]  
  • –3 +/
    Tor это троян!
     
     
  • 4.22, Аноним (-), 20:46, 21/04/2014 [^] [^^] [^^^] [ответить]  
  • +/
    > Tor это троян!

    Tor не безопасен, безопасность достижима только в I2P - подсказывает нам NSA.

     
  • 4.31, star (??), 12:05, 22/04/2014 [^] [^^] [^^^] [ответить]  
  • +/
    TOR разработан правительством США, но у него открыт код и есть альтернативная реализация с нуля..
    Хотя кто знает что там в официальных бинарниках на сайте которые наверняка никто не проверяет потому что есть исходники..
     
  • 3.18, Аноним (-), 19:21, 21/04/2014 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Какой идиот будет такое смотреть через Тор? Он же скорость порежет сильно. Тор для других вещей. Сейчас наступило время, когда люди смогут чувствовать себя в безопасности только тогда, когда все их привычки и нравы не будут сливаться куда попало.
     
     
  • 4.27, Гость (?), 07:59, 22/04/2014 [^] [^^] [^^^] [ответить]  
  • +/
    Настало время когда на опеннете рассказывают про чувства.
     
     
  • 5.28, Аноним (-), 08:58, 22/04/2014 [^] [^^] [^^^] [ответить]  
  • +/
    Это подготовительный пост перед тем, как ты всем расскажешь что-то о своих чувствах? Давай, не стесняйся. :)
     
  • 2.30, Аноним (-), 10:20, 22/04/2014 [^] [^^] [^^^] [ответить]  
  • +/
    > Дистр даёт только безопасность на машине, просто защита для программ.

    Одних установленных у тебя программ от других установленных у тебя программ?

     

  • 1.13, qwerty (??), 16:07, 21/04/2014 [ответить] [﹢﹢﹢] [ · · · ]  
  • –3 +/
    Какие минимальные требования к ресурсам для запуска данной os.
     
     
  • 2.14, qwerty (??), 16:07, 21/04/2014 [^] [^^] [^^^] [ответить]  
  • –1 +/
    ?
     
     
  • 3.38, sorrymak (ok), 19:44, 24/04/2014 [^] [^^] [^^^] [ответить]  
  • +/
    В новости всё написано же.
     

  • 1.17, Аноним (-), 18:37, 21/04/2014 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    С такими требованиями к железу - нафик.
     
     
  • 2.24, Аноним (-), 20:49, 21/04/2014 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > С такими требованиями к железу - нафик.

    Да, не самый лучший дистрибутив для школы.

     

  • 1.26, Классический анонимус (?), 05:21, 22/04/2014 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    4ГБ ОЗУ мало верится. У меня с 4ГБ (больше материнка не поддерживает) хром с 5-10 закладками частенько дерется с QEMU (в котором банальный postfix и ssh торчат в инет). Тупит минуту, потом в dmesg видно, что OOM кильнул пару деток хрома.

    А тут полноценная изоляция... 8 гиг минимум.

    Кстати, разные задачи запускаю под разными пользователями linux с помощью sux.
    Т.е. 1 браузер для финансов, другой браузер для всякой фигни. Против малвари наверняка достаточно. Проблема в том, что ещё б браузер секурный найти. В хрома и Фаерфокс веры мало.

     
     
  • 2.29, Аноним (-), 10:19, 22/04/2014 [^] [^^] [^^^] [ответить]  
  • +/
    > Проблема в том, что ещё б браузер секурный найти. В хрома и Фаерфокс веры мало.

    Неужели тот браузер версии 11, о котором я подумал ... :)

     
     
  • 3.32, Аноним (-), 12:42, 22/04/2014 [^] [^^] [^^^] [ответить]  
  • +/
    > Неужели тот браузер версии 11, о котором я подумал ... :)

    Который закрытый блоб с бэкдорами и прекращенной поддержкой?

     
  • 2.34, Аноним (-), 21:18, 22/04/2014 [^] [^^] [^^^] [ответить]  
  • +/
    В хроме закладки? АНБ и туда пробраслось!?
     

  • 1.36, anonymous (??), 14:16, 23/04/2014 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Мне вот интересно: все эти приложения из отдельных виртуалок выводятся потом на один X-сервер? Там используется x11 untrusted (с которым половина программ не очень любит работать, да и у которого логика довольно странная), или одно окружение через X-подключение может иметь неограниченный доступ ко всем остальным (что делает всю затею бесполезной), или там используется что-нибудь вроде Xephyr?
     
  • 1.37, Аноним (-), 18:46, 23/04/2014 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    реально, пока - основной минс - не дружит с виртуализацией AMD и управлялки для многих фич - все еще из CLI.
    а так - Годная вещь !!
    для промышленных применения или DLP. да и просто в корпоративной среде развернуть
    особенно если будет форк с BSD или QNX -ядром, seL4 итп.
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Спонсоры:
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2020 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру