Представлен (http://theinvisiblethings.blogspot.com/2012/07/qubes-10-rele...) кандидат в релизы Linux-дистрибутива Qubes (http://qubes-os.org/), реализующего (http://www.opennet.me/opennews/art.shtml?num=30243) идею строгой изоляции приложений и компонентов ОС с задействованием системы виртуализации Xen. Приложения в Qubes разделены на классы в зависимости от важности обрабатываемых данных и решаемых задач, каждый класс приложений, а также системные сервисы (сетевая подсистема, работа с хранилищем и т.п.), работают в отдельных виртуальных машинах. При этом указанные приложения бесшовно доступны в рамках одного рабочего стола и выделяются для наглядности разным цветом обрамления окна. Каждое окружение имеет доступ на чтение к базовой корневой ФС и локальному хранилищу, не пересекающемуся с хранилищами других окружений, для организации взаимодействия приложений используется специальных сервис.
<center><a href="http://2.bp.blogspot.com/-zJFn81JdryI/UAqu7H9KSHI/AAAAAAAAAJ... src="http://www.opennet.me/opennews/pics_base/0_1343036494.png" style="border-style: solid; border-color: #e9ead6; border-width: 15px;" title="" border=0></a></center>Представленная версия является последним тестовым выпуском перед финальным релизом Qubes 1.0, который ожидается в течение нескольких недель. Для загрузки доступен (http://wiki.qubes-os.org/trac/wiki/InstallationGuide) установочный образ, размером 1.5 Гб. Для работы Qubes необходима (http://wiki.qubes-os.org/trac/wiki/HCL) система с 4 Гб ОЗУ, 64-разрядным CPU Intel или AMD, желательно с поддержкой технологий VT-d или AMD IOMMU. Из графических карт в полной мере поддерживается только Intel GPU, при использовании NVIDIA наблюдаются проблемы, а работа карт AMD/ATI не протестирована.
По сравнению с третьей бета-версией в Qubes 1.0-RC1 отмечаются следующие улучшения:- Значительно улучшенный конфигуратор Qubes Manager, позволяющий настраивать и управлять работой большинства подсистем Qubes через простой GUI-интерфейс;
- Содержимое виртуальных машин генерируется на основе шаблона, построенного на пакетной базе Fedora 17. В качестве ядра Linux задействована версия 3.2.7-pvops с улучшенной поддержкой оборудования и управления питанием;
- Почищены и переработны инструменты командной строки, как для Dom0, так и для виртуальных машин;
- Переработано меню, добавлены новые пиктограммы, по которым, например, легче отличить бразуер для работы с платёжными системами от браузера для обычной навигации по сайтам;
- Поддержка yum-прокси для ускорения распространения обновлений внутри виртуальных машин без предоставления доступа к HTTP в данных окружениях;
- Поддержка возможности запуска выбранных виртуальных машин в полноэкранном режиме.URL: http://theinvisiblethings.blogspot.com/2012/07/qubes-10-rele...
Новость: http://www.opennet.me/opennews/art.shtml?num=34391
Разве это нельзя сделать через lxc? Без:> необходима система с 4 Гб ОЗУ, 64-разрядным CPU Intel или AMD, желательно с поддержкой технологий VT-d или AMD IOMMU.
Про голубую пилюлю Рутковской слашал? вот этот дистрибутив разрабатывается как имющий к ней имунитет.
Девушка своим антивирусом свой вирус рекламирует? :) Оригинально.
> Девушка своим антивирусом свой вирус рекламирует? :) Оригинально.А это не антивирус. Это система ориентированная на высокую культуру быта^W^W безопасность.
>> Девушка своим антивирусом свой вирус рекламирует? :) Оригинально.
> А это не антивирус. Это система ориентированная на высокую культуру быта^W^W безопасность.В этой системе авторы сосредоточились на единственной идее изоляции для локализации потенциального вреда в случае взлома изолированных приложений. Для усиления защиты самих приложений не сделано ничего, по сравнению с любым обычным дистрибутивом линукса. То есть, если вас успокаивает мысль, что взломавшие ваш почтовый клиент сольют только вашу почту, Qubes для вас. Если предпочитаете предотвратить взлом, смотрите в сторону Hardened Gentoo, Openwall (ядро с Grsecurity придётся собрать самостоятельно) и Alpine (серверный дистрибутив).
Кстати, недавняя уязвимость к повышению привилегий в Xen должна расставить все точки над i в случае Qubes для тех, кто ещё сомневался.
Этого можно добиться и без ксенокостылей
> Этого можно добиться и без ксенокостылейОпенвзкостылями?
> Разве это нельзя сделать через lxc? Без:Нельзя. По словам самих разработчиков LXC, он совершенно не готов для серьезного использования, т.к. рут из контейнера имеет полные полномочия на хосте.
> рут из контейнера имеет полные полномочия на хосте.Вас обманули. Или вы из какой-то криокамеры выползли. Там уже немало времени как реализован fake root, если что. Который на host - конь в пальто.
> Вас обманули. Или вы из какой-то криокамеры выползли. Там уже немало времени как реализован fake root, если что. Который на host - конь в пальто.Его с 2009 года собираются реализовать, но так и не осилили.
> Его с 2009 года собираются реализовать, но так и не осилили.Вообще-то осилили, уже энное время как.
> Вообще-то осилили, уже энное время как.Пруф?
> Пруф?Новость на опеннете про одно из ядер.
> Новость на опеннете про одно из ядер.Замечательно. А пруф будет?
>> Новость на опеннете про одно из ядер.
> Замечательно. А пруф будет?Не будет, потому что из всех запланированных ограничений user namespaces реализована только малая часть.
> Вас обманули. Или вы из какой-то криокамеры выползли. Там уже немало времени как реализован fake root, если что. Который на host - конь в пальто.Да неужели? С каких это пор LXCовый рут потерял право писать любую фигню в sysctl хоста, например?
> Да неужели? С каких это пор LXCовый рут потерял право писать любую
> фигню в sysctl хоста, например?С таких с каких он не является настоящим рутом, очевидно.
>> Да неужели? С каких это пор LXCовый рут потерял право писать любую
>> фигню в sysctl хоста, например?
> С таких с каких он не является настоящим рутом, очевидно.
> Разве это нельзя сделать через lxc?Можно, но уровень изоляции будет хуже чем у "руткитской" и ее дистра. Понимаешь, человек написавший Blue Pill уже никогда не сможет согласиться на компромисс. В каком-то роде это правильно. Настоящий спец по безопасности - истинный параноик в чистом виде.
> Настоящий спец по безопасности - истинный параноик в чистом виде.Люто, бешенно, неистово плюсую.
>> Разве это нельзя сделать через lxc?
> Можно, но уровень изоляции будет хуже чем у "руткитской" и ее дистра.
> Понимаешь, человек написавший Blue Pill уже никогда не сможет согласиться на
> компромисс. В каком-то роде это правильно. Настоящий спец по безопасности -
> истинный параноик в чистом виде.Они до сих пор живут с компромиссами в Qubes, поскольку до сих пор не реализован ни один из механизмов защиты гипервизора, предложенных их же командой.
> Разве это нельзя сделать через lxc? Без:LXC по состоянию на сегодняшний день не предназначен и непригоден для безопасной изоляции (хотя бы на уровне Xen).
Интересно, интегрируют ли в финальный релиз seccomp filter.
> Интересно, интегрируют ли в финальный релиз seccomp filter.Да, в каждой виртуалке надо еще вынос каждого процесса в свой LXC контейнер настроить а там дополнительно придушить половину доступа через selinux, yama, seccomp_filter и прочая, не забыв подхачить половину сисколов через LD_PRELOAD. Разумеется не забыв заменить половину системных утилит на какие-нибудь лулзы.
И главное - не забыть посмотреть на офигевшую морду хакера который долго не будет понимать что же это за фигня такая странная.
Представляю как взломщик офигеет попав в систему ))
Там для взломщика, наверное, своя отдельная система. Где заботливо развешаны цветочки в терминале, красивый коврик, и можно даже в angband поиграть. :) Можно даже особо такую поддельную виртуалку не защищать, просто ресурсы залимитировать.
> даже особо такую поддельную виртуалку не защищать, просто ресурсы залимитировать.Ну взломшик скорее всего отправит кучу спама или хакнет кого-то. А пилюли - тебе, ибо с твоего айпи :)
>We do not provide OpenGL virtualization for AppVMs.
>However, Qubes allows for use of accelerated graphics (OpenGL) in Dom0’s Window Manager, so all the fancy desktop effects should still work under Qubes.опаньки. что ж там запускать, кроме браузера и офиса?
>>We do not provide OpenGL virtualization for AppVMs.
>>However, Qubes allows for use of accelerated graphics (OpenGL) in Dom0’s Window Manager, so all the fancy desktop effects should still work under Qubes.
> опаньки. что ж там запускать, кроме браузера и офиса?А что, вам нужен высокий уровень безопасности, чтобы играть в игры? Боитесь, что L4D сопрет ваши сейвы из крайзиса?
>>>We do not provide OpenGL virtualization for AppVMs.
>>>However, Qubes allows for use of accelerated graphics (OpenGL) in Dom0’s Window Manager, so all the fancy desktop effects should still work under Qubes.
>> опаньки. что ж там запускать, кроме браузера и офиса?
> А что, вам нужен высокий уровень безопасности, чтобы играть в игры? Боитесь,
> что L4D сопрет ваши сейвы из крайзиса?в душе ниипу что такое L4D. Может, L3D? И это, неужели же ж OpenGL под линуксом нигде, кроме игр, не используют? А то мне в соседних тредах рассказывали про всякие кады, блендеры-шмендеры...
> А то мне в соседних тредах рассказывали про всякие кады, блендеры-шмендеры...Их лучше запускать под виндой, так безопаснее.
> опаньки. что ж там запускать, кроме браузера и офиса?Ну не гамезы же. Вообще, тем кому крутая секурити нужна - гамезы как-то ни к чему особо.
>каждый класс приложений, а также системные сервисы (сетевая подсистема, работа с хранилищем и т.п.), работают в отдельных виртуальных машинах.Вот что бывает, когда на кухне установлен компьютер.
>>каждый класс приложений, а также системные сервисы (сетевая подсистема, работа с хранилищем и т.п.), работают в отдельных виртуальных машинах.
> Вот что бывает, когда на кухне установлен компьютер.Да-да. Пожалуйста, срочно перестаньте писать комменты на форумах. Вместо этого лучше готовьте борщ, а то муж скоро с работы придет.
> Вот что бывает, когда на кухне установлен компьютер.Да, всякие овощи пишут на форумы :(. Вот вы например.
Аж два раза запостила. :))
> Аж два раза запостила. :))Вас глючит - в этом треде нет повторных постов.
> Аж два раза запостила. :))Вас глючит - в этом треде нет повторных постов.
Это вообще нафига,и кто будет этим пользоваться?
Костыль на костыле.
> Это вообще нафига,и кто будет этим пользоваться?Три с половиной параноика.
> Костыль на костыле.
Лучшая безопасность это когда вообще нихрена не работает.
> Лучшая безопасность это когда вообще нихрена не работает.Шindoшs - самая безопасная ОС!
Почему Xen? Чем им KVM не угодил? Он же лучше?
> Почему Xen? Чем им KVM не угодил? Он же лучше?Рутковская как-то писала подробную объясниловку, что KVM очень дырявый и небезопасный по сравнению с Xen.
> Почему Xen? Чем им KVM не угодил? Он же лучше?А тут все просто: xen меньше по размеру и стало быть в нем багов теоретически поменьше. Для истинного, элитного параноика в плане безопасности и это - тоже аргумент. Технически вполне валидный, в принципе.
Понимаете, это попытка создать high-security окружение. В нем подходы ко всему и вся - довольно своеобразные.
Что, выносной гипервизор уже стал меньше ядерного модуля? Или вы к KVM приплюсовываете всё остальное ядро? Тогда уж и к ксину тоже будте любезны. Или вы его можете уже без дом0 запускать? Этакого сферического ксена в оперативке?
Да. Да. Нет. Можем.Ты бы погуглил вначале про что вообще идет речь, прежде чем распускать нубские слюни.
> Что, выносной гипервизор уже стал меньше ядерного модуля? Или вы к KVM
> приплюсовываете всё остальное ядро?Это не я приписываю а руткитска. В конечном итоге арбитраж ресурсов в xen осуществляет все-таки мелкий гипервизор. А в kvm - linux ядро. Первый мельче, так что и багов в нем ожидается меньше.
> Или вы его можете уже без дом0 запускать?
Тут важнее кто и как разруливает арбитраж и кого и как надо хакать чтобы обойти лимиты. Ну и сколько какого кода где.
Интересно попробовать такой подход с другой точки зрения — с точки зрения написания Абсолютно Переносимых Приложений — т.е. приложений, которые будут работать в любой ОС и любой среде, предоставившей Xen-виртуализацию.
> Интересно попробовать такой подход с другой точки зрения — с точки зрения
> написания Абсолютно Переносимых Приложений — т.е. приложений, которые будут работать
> в любой ОС и любой среде, предоставившей Xen-виртуализацию.Такой подход уже давно реализован, причем неоднократно. Самая известная реализация - Java.
iZEN, добрый вечер!
> Такой подход уже давно реализован, причем неоднократно. Самая известная реализация - Java.Обойти песочницу "отдельная система в гипервизоре" сложнее чем "виртуальная машина + рантайм-переросток". Вы сравните размер xen и явы с ее рантаймами. И поймете во сколько раз чаще в яве будет хрень вида "краплет может вылезти из песочницы и выполнить в системе любые действия с правами текущего юзера".
> Обойти песочницу "отдельная система в гипервизоре" сложнее чем "виртуальная машина + рантайм-переросток".
> Вы сравните размер xen и явы с ее рантаймами. И поймете
> во сколько раз чаще в яве будет хрень вида "краплет может
> вылезти из песочницы и выполнить в системе любые действия с правами
> текущего юзера".Xen с установленным внутри полноценным линуксом будет весить явно больше жабовского рантайма.
А если к нему прикрутить функции IPC, работы с диском и сетью и прочие фичи, необходимые большинству приложений - возможности вырваться резко возрастут.
> Xen с установленным внутри полноценным линуксом будет весить явно больше жабовского рантайма.Не обязательно - сильно зависит от линукса и чего туда напихать. Ну и скорость практически равна нативному коду т.к. нативный код и выполняется, проц не вмешивается покуда нет исключительных ситуаций.
> А если к нему прикрутить функции IPC, работы с диском и сетью
> и прочие фичи, необходимые большинству приложений - возможности вырваться резко возрастут.Вы так говорите как будто их там нет или как будто у явы этого нет или это не так. А сеть - что сеть? Вон стоит пачка линуксных хостов с жирным интернетом и кучей ресурсов. Что ж их еще не раздолбали?
>> Интересно попробовать такой подход с другой точки зрения — с точки зрения
>> написания Абсолютно Переносимых Приложений — т.е. приложений, которые будут работать
>> в любой ОС и любой среде, предоставившей Xen-виртуализацию.
> Такой подход уже давно реализован, причем неоднократно. Самая известная реализация - Java.Спасибо, кэп. Но тут неуправляемый код. И куда меньше проблем с взаимодействием за пределами VM.
> Спасибо, кэп. Но тут неуправляемый код. И куда меньше проблем с взаимодействием за пределами VM.Рутковская приложила значительные усилия, чтобы код _имел_ возможность взаимодействия (и создания проблем) за пределами VM. И, очевидно, будет работать в этом направлении и дальше. Потому что в 99% полностью изолированная программа - бесполезна.
> чтобы код _имел_ возможность взаимодействия (и создания проблем)"В случае аварии - выдерни шнур, выдави стекло" :)
Мммм... АПИ/АБИ все равно какое то нужно, не реализовывать же все заново в каждой программе?
А частные случаи уже есть - например http://erlangonxen.org/