The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

Обновление ОС Qubes 4.2.2, использующей виртуализацию для изоляции приложений

14.07.2024 21:49

Доступен выпуск операционной системы Qubes 4.2.2, реализующей идею использования гипервизора для строгой изоляции приложений и компонентов ОС (каждый класс приложений и системные сервисы работают в отдельных виртуальных машинах). Для работы рекомендуется система с 16 Гб ОЗУ (минимум - 6 Гб) и 64-разрядным CPU Intel или AMD с поддержкой технологий VT-x c EPT/AMD-v c RVI и VT-d/AMD IOMMU, желательно наличие GPU Intel (GPU NVIDIA и AMD недостаточно хорошо протестированы). Размер установочного образа - 6 ГБ (x86_64).

Приложения в Qubes разделены на классы в зависимости от важности обрабатываемых данных и решаемых задач. Каждый класс приложений (например, работа, развлечения, банковские операции), а также системные сервисы (сетевая подсистема, межсетевой экран, работа с хранилищем, USB-стек и т.п.), работают в отдельных виртуальных машинах, запускаемых с использованием гипервизора Xen. При этом указанные приложения доступны в рамках одного рабочего стола и выделяются для наглядности разным цветом обрамления окна. Каждое окружение имеет доступ на чтение к базовой корневой ФС и локальному хранилищу, не пересекающемуся с хранилищами других окружений, для организации взаимодействия приложений используется специальный сервис.

В качестве основы для формирования виртуальных окружений может применяться пакетная база Fedora и Debian, также сообществом поддерживаются шаблоны для Ubuntu, Gentoo и Arch Linux. Возможна организация доступа к приложениям в виртуальной машине с Windows, а также создание виртуальных машин на базе Whonix для обеспечения анонимного доступа через Tor. Пользовательская оболочка построена на основе Xfce. Когда пользователь запускает из меню приложение, это приложение стартует в определенной виртуальной машине. Содержание виртуальных окружений определяется набором шаблонов.

В новом выпуске отмечено обновление версий программ, формирующих базовое системное окружение (dom0). Подготовлен шаблон для формирования виртуальных окружений на базе Fedora 40.

В ветке 4.2 для защиты от атак, связанных с манипуляцией с unicode-символами и некорректными кодами символов в именах файлах, были введены ограничения, связанные с использованием расширенных символов в именах файлов. Данное изменение привело к проблемам с копированием и перемещением файлов, содержащих не латинские буквы в имени. В версии 4.2.2 по умолчанию восстановлено старое поведение при обработке имён файлов, а для настройки в сервис qubes.Filecopy добавлен параметр "allow-all-names".

  1. Главная ссылка к новости (https://www.qubes-os.org/news/...)
  2. OpenNews: Обновление ОС Qubes 4.2.1, использующей виртуализацию для изоляции приложений
  3. OpenNews: Релиз ОС Qubes 4.2.0, использующей виртуализацию для изоляции приложений
  4. OpenNews: Выпуск Whonix 17.2, дистрибутива для обеспечения анонимных коммуникаций
  5. OpenNews: Спецслужбы Франции опубликовали защищённый дистрибутив CLIP OS
  6. OpenNews: Началось тестирование ОС Subgraph, использующей контейнерную изоляцию приложений на десктопе
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/61545-qubes
Ключевые слова: qubes
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (32) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.3, Аноним (3), 22:37, 14/07/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • –4 +/
    Виртуализация для таких целей не подходит. Контейнеров (ака линукс-неймспейсов) достаточно. Если контейнеры не обеспечивают должный уровень безопасности, его автоматически (!) не обеспечивают и виртуалки. Например, холодный кошелек для криптобирж полагается держать на отдельном компе без доступа в интернет. Этот комп должен стоять в помещении с металлическими стенами и дверями, а снаружи должны торчать братки в солнцезащитных очках и с автоматами. Вот это реальная изоляция.
     
     
  • 2.6, Витюшка (?), 23:10, 14/07/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Эти же братки у тебя этот криптокошелек и позаимствуют при первом удобном случае. С помощью терморектального криптоанализа)
     
     
  • 3.8, Аноним (8), 23:20, 14/07/2024 [^] [^^] [^^^] [ответить]  
  • +/
    На каждого братка найдется швабра и план по поимке.  
     
     
  • 4.15, Минона (ok), 01:14, 15/07/2024 Скрыто ботом-модератором     [к модератору]
  • +1 +/
     
  • 2.16, Минона (ok), 01:18, 15/07/2024 [^] [^^] [^^^] [ответить]  
  • +6 +/
    Это с каких пор неймспейсы имеют одинаковый с ВМ уровень изоляции?
     
  • 2.23, Казацький ватажок (?), 02:01, 15/07/2024 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Например, холодный кошелек для криптобирж полагается держать на отдельном компе без доступа в интернет.

    Людей которым это действительно нужно не так много. Большинство хранит на своих счетах на самих биржах. Никому твоя условная штука баксов в месяц нафиг не нужна.

     
     
  • 3.24, Казацький ватажок (?), 02:03, 15/07/2024 [^] [^^] [^^^] [ответить]  
  • +1 +/
    П.с. знаю чела, который для этой цели купил древний мак мини на power g4.
     
     
  • 4.27, Аноним (8), 06:14, 15/07/2024 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Знаю чела, который ходил в костюме Наполеона, и говорил что он Наполеон только его потом осудили за расчлененку. Так что вообще не показатель что мак мини это что-то здравое.  
     
     
  • 5.38, Аноним (38), 12:59, 15/07/2024 [^] [^^] [^^^] [ответить]  
  • –1 +/
    А как фамилия того чела была? Понасенков?
     
  • 5.47, Аноним (47), 14:57, 15/07/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Не припомню, чтоб Чикатило ходил в костюме Наполеона.
     

  • 1.5, beck (??), 22:58, 14/07/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Если мне одна и та же программа нужна для работы, развлечения и банковских операций, то эта программа три раза копируется?
     
     
  • 2.7, Аноним (8), 23:19, 14/07/2024 [^] [^^] [^^^] [ответить]  
  • +/
    На три разных компьютера. Так безопасно.
     
     
  • 3.10, Аноним (10), 23:44, 14/07/2024 [^] [^^] [^^^] [ответить]  
  • +1 +/
    На трёх разных планетах.
     
     
  • 4.28, Аноним (8), 06:15, 15/07/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Три параллельные вселенные будут в самый раз.  
     
  • 2.9, Аноним (9), 23:22, 14/07/2024 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Да
     
  • 2.35, Аноним (38), 11:42, 15/07/2024 [^] [^^] [^^^] [ответить]  
  • +/
    > Если мне одна и та же программа нужна для работы, развлечения и банковских операций

    А что за программа такая, если не секрет? Управление креслом электрошоковой терапиии?

     
     
  • 3.50, Анониссимус (?), 12:01, 16/07/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Google Chrome
     

  • 1.11, Аноним (-), 00:06, 15/07/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Когда завезут гпу-ускорение для машин? Сама концепция хороша, на практике же работать с медиа невозможно, годится только для нетребовательных офисных задач и пентеста (в qemu/kvm/libvirt удобнее).
     
     
  • 2.19, Казацький ватажок (?), 01:53, 15/07/2024 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > гпу-ускорение для машин

    Возможно, дело в конкретном GPU. У меня на VirtualBox встройка 11 поколения тормозит везде, хотя показывает, что ускорение работает. Затычка Radeon аж 2014 года рвёт её как тузик грелку (на том же конфиге).

     
     
  • 3.36, Аноним (36), 12:11, 15/07/2024 [^] [^^] [^^^] [ответить]  
  • +1 +/
    А в virtualbox давно появилась не программная отрисовка (кривая, вон даже баги древнего вайна 1 в 1 повторяла)? Это в qemu есть virgl, но не для венды. Для гостевой венды без проброса видеокарты ничего лучше vmware не придумали.
     

  • 1.13, Аноним (13), 00:18, 15/07/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    Эту ОС рекламируют в торрент-сети, на заглавной странице рекомендация Сноудена. Вроде бы и ссылка на исходный код из 190 репозиториев дана: https://github.com/QubesOS
    Неужели эта операционная система действительно настолько хороша что может обеспечить безопасность от зоркого глаза западного товарища майора?
     
     
  • 2.14, Аноним (13), 00:24, 15/07/2024 [^] [^^] [^^^] [ответить]  
  • +/
    И мне вот интересно, а kolibri может обеспечивать безопасность? Наверняка инструментов для пентестинга там нет, но вот просто пользоваться без зондов наверняка же возможно? Или цифровой отпечаток всё-равно идентифицирует пользователя?
     
     
  • 3.32, Аноним (32), 10:21, 15/07/2024 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Она тебе обеспечит только 100% узнавание тебя. Ибо ты один такой будешь в городе, если не в стране.
     
  • 2.18, Минона (ok), 01:30, 15/07/2024 [^] [^^] [^^^] [ответить]  
  • +/
    От западного товарища майора тебя защитит сертификация ФСТЭК и ФСБ, иначе никак. 😎
     
     
  • 3.21, Казацький ватажок (?), 01:57, 15/07/2024 [^] [^^] [^^^] [ответить]  
  • –5 +/
    А зачем защищаться от западного майора, если ты не на западе? 🙄 Ещё задолго до 2022 года самыми безопасными VPN считались в тех странах, с которыми у PФ максимально испорченные отношения. Типа той же Укpaины.
     
     
  • 4.37, Аноним (38), 12:57, 15/07/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Действительно, почему бы подарить свои персональные данные тем, кто занимается мошенническими звонками?
     
  • 4.40, Аноним (-), 14:43, 15/07/2024 [^] [^^] [^^^] [ответить]  
  • +/
    > Типа той же Укpaины.

    кто вам такие рекомендации выписал? ))
    torrc традиционно рекомендовано было {RU},{UA},{KZ},{BY}.. остальное по вкусу

     
     
  • 5.41, Аноним (-), 14:44, 15/07/2024 [^] [^^] [^^^] [ответить]  
  • –2 +/
    >

    excludenode естественно

     
  • 3.46, Аноним (47), 14:52, 15/07/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Нет уж, пусть лучше без сертификации защищает от глаза отечественного товарища майора.
     
  • 2.30, BeLord (ok), 09:24, 15/07/2024 [^] [^^] [^^^] [ответить]  
  • +/
    От зоркого глаза тов. майора ничего не спасет, чтобы он тебя не заметил, тебе нужно было родится лет 100 назад в тайге, нигде и никогда не светить любыми данными, чтобы ни в одной базе тебя не было, потом в этой тайге соорудить свой девайс для доступа в сеть и даже в этом случае, тебя можно вычислить-))) Не ну реально, как только вышел в сеть твои координаты известны, дальше дело техники и не важно какая ось у тебя стоит на девайсе.
     
     
  • 3.51, Аноним (51), 12:06, 16/07/2024 [^] [^^] [^^^] [ответить]  
  • +/
    > как только вышел в сеть твои координаты известны

    ааа теперь понятно, что майоры потеряшек не ищут
    а ищут их волонтеры )))
    майорам просто лень? но они все про всех знают

     
  • 2.39, Аноним (-), 14:41, 15/07/2024 Скрыто ботом-модератором     [к модератору]
  • +1 +/
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру