Qubes OS to dystrybucja open source dla systemu Linux zbudowana wokół hiperwizora Xen, technologii X Window System i jądra systemu Linux. Oparty jest na Fedorze Linux i zaprojektowany od podstaw, aby zapewnić użytkownikom silne zabezpieczenia komputerów stacjonarnych.
Dystrybucja została zaprojektowana tak, aby działała prawie we wszystkich aplikacjach Linux i używa wszystkich sterowników zaimplementowanych w jądrze Linuksa do automatycznego wykrywania i konfigurowania większości komponentów sprzętowych (nowych i starych).
Funkcje na pierwszy rzut oka
Najważniejsze funkcje to bezpieczny hyper-metalowy hypervisor obsługiwany przez projekt Xen, bezpieczne uruchamianie systemu, obsługa opartych na systemie Windows i opartych na systemie Linux AppVM (wirtualnych maszynach aplikacji) oraz scentralizowane aktualizacje dla wszystkich AppVM opartych na ten sam szablon.
Aby przeprowadzić piaskownicę kilku podstawowych komponentów i odizolować od siebie niektóre aplikacje, Qubes OS korzysta z technologii wirtualizacji. W związku z tym integralność pozostałej części systemu nie zostanie naruszona.
Rozproszone jako Live DVD
Jest dystrybuowany jako pojedynczy obraz ISO Live DVD, obsługujący tylko 64-bitową (x86_64) platformę sprzętową, którą można wdrożyć na dysku flash USB lub 4 GB lub więcej, a także nagrać na płytę DVD. Z menu rozruchu użytkownicy mogą wypróbować lub zainstalować system operacyjny.
Proces instalacji jest oparty na tekście i pozwala użytkownikom ustawić strefę czasową, wybrać źródło instalacji, wybrać pakiety oprogramowania, które mają zostać zainstalowane, wybrać miejsce docelowe instalacji, ustawić hasło root i utworzyć użytkowników.
Używa środowiska graficznego KDE i nbsp; Plasma
Domyślne środowisko graficzne jest obsługiwane przez projekt obszarów roboczych i aplikacji KDE Plasma, który składa się z jednego paska zadań umieszczonego w górnej części ekranu, z którego użytkownicy mogą uzyskać dostęp do głównego menu, uruchamiania aplikacji i interakcji z uruchomionymi programami .
Dolna linia
Podsumowując, Qubes OS to unikalny system operacyjny oparty na Fedorze, który implementuje podejście "bezpieczeństwo przez izolację" i używa lekkich maszyn wirtualnych o nazwie AppVM, które są definiowalne przez użytkowników.
< strong> Co nowego w tej wersji:
- Skrypty do zarządzania rdzenia przepisują z lepszą strukturą i rozszerzalnością, dokumentacją API
- Admin API umożliwiający ściśle kontrolowane zarządzanie z non-dom0
- Wszystkie narzędzia wiersza polecenia qvm- * zostały przepisane, niektóre opcje uległy zmianie
- Bezpośrednia zmiana nazwy maszyny wirtualnej jest zabroniona, istnieje GUI do klonowania pod nową nazwą i usuwania starej maszyny wirtualnej
- Domyślnie używaj HVM, aby obniżyć powierzchnię ataku na Xen
- Utwórz domyślnie maszynę USB
- Obsługa wielu szablonów maszyn do jednorazowego użytku
- Nowy format kopii zapasowej z funkcją scrypt key-derivation
- Niezakodowane kopie zapasowe nie są już obsługiwane
- podzielone pakiety VM, dla lepszej obsługi minimalnych, wyspecjalizowanych szablonów
- Rozkład Qubes Manager - widgety domen i urządzeń zamiast pełnego Qubes Manager; obsługa widżetów urządzeń również USB
- Bardziej elastyczny interfejs zapory ogniowej ułatwiający integrację z użytkownikiem.
- Maszyny wirtualne szablonów nie mają domyślnie interfejsu sieciowego, zamiast tego używany jest serwer proxy aktualizacji oparty na qrexec.
- Bardziej elastyczne adresowanie IP dla maszyn wirtualnych - niestandardowy adres IP, ukryty przed IP
- Bardziej elastyczny Qubes RPC - pokrewny bilet, dokumentacja
- Nowe okno potwierdzenia RPC Qubes, w tym opcja określania docelowej maszyny wirtualnej
- Aktualizacja Dom0 do Fedory 25 dla lepszej obsługi sprzętu
- Kernel 4.9.x
Co nowego w wersji 3.2 / 4.0 RC2:
- Ulepszono przekazywanie PCI za pomocą sys-net i sys -usb działa domyślnie w trybie HVM. Po wprowadzeniu tej zmiany oficjalnie osiągnęliśmy cel Qubes 4.0 polegający na domyślnym ustawieniu wszystkich kubków w trybie HVM w celu zwiększenia bezpieczeństwa.
- Szablony whonix powróciły! Naprawiliśmy różne problemy z blokowaniem, a szablony Whonix są ponownie dostępne w domyślnym instalatorze. Debiutujemy nawet na nowych urządzeniach DispVM opartych na Whonixie!
Co nowego w wersji 3.2 / 4.0 RC1:
- Jedną z głównych funkcji, którą ulepszyliśmy w tej wersji, jest nasza zintegrowana infrastruktura zarządzania, która została wprowadzona w Qubes 3.1. O ile przedtem można było zarządzać całymi maszynami wirtualnymi, możliwe jest również zarządzanie wewnętrznymi maszynami wirtualnymi.
- Głównym wyzwaniem, któremu musieliśmy stawić czoła, było umożliwienie tak ścisłej integracji oprogramowania mechanizmu zarządzania (do którego używamy Salt) z potencjalnie niezaufanymi maszynami wirtualnymi bez otwierania dużej powierzchni ataku na (złożonym) kodzie zarządzania. Uważamy, że znaleźliśmy eleganckie rozwiązanie tego problemu, który wdrożyliśmy w Qubes 3.2.
- Używamy teraz tej funkcji zarządzania do podstawowej konfiguracji systemu podczas instalacji, do przygotowywania naszych automatycznych testów i do stosowania różnych niestandardowych konfiguracji. W przyszłości wyobrażamy sobie prostą aplikację GUI, która pozwala użytkownikom pobierać gotowe do użycia receptury soli do konfigurowania różnych rzeczy, na przykład ...
- Wstępnie skonfigurowane aplikacje zoptymalizowane pod kątem korzystania z podziału na grupy Qubes, takie jak Thunderbird z Qubes Split GPG
- Interfejs użytkownika i dostosowania systemowe dla konkretnych przypadków użycia
- Zdalne zarządzanie i integracja korporacyjna
- Te funkcje są planowane w nadchodzących wydaniach Qubes 4.x.
- W programie Qubes 3.2 wprowadzamy również funkcję przekazywania USB, która umożliwia przypisywanie do urządzeń AppVM pojedynczych urządzeń USB, takich jak kamery, portfele sprzętowe Bitcoin i różne urządzenia FTDI. Oznacza to, że teraz można używać Skype'a i innego oprogramowania do wideokonferencji w Qubes!
- Qubes wspiera piaskownicę urządzeń USB od samego początku (2010), ale złapaniem zawsze było to, że wszystkie urządzenia USB podłączone do tego samego kontrolera USB musiały zostać przypisane do tej samej maszyny wirtualnej. Ograniczenie to wynikało z podstawowej architektury sprzętowej (w szczególności technologii PCIe i VT-d).
- Możemy teraz obejść to ograniczenie, wykorzystując backend oprogramowania. Cena, jaką za to płacimy, to zwiększona powierzchnia ataku na zapleczu, co jest ważne w przypadku, gdy kilka urządzeń USB o różnych kontekstach zabezpieczeń jest połączonych z jednym kontrolerem. Niestety, na laptopach prawie zawsze tak jest. Kolejnym potencjalnym problemem związanym z bezpieczeństwem jest to, że wirtualizacja USB nie uniemożliwia potencjalnie szkodliwemu urządzeniu USB atakowania maszyny wirtualnej, do której jest ona podłączona.
- Te problemy nie są nierozerwalnie związane z systemem Qubes. W rzeczywistości stanowią one jeszcze większe zagrożenie dla tradycyjnych, monolitycznych systemów operacyjnych. W przypadku Qubes przynajmniej możliwe było odizolowanie wszystkich urządzeń USB od AppVMów użytkownika. Nowa funkcja przekazywania USB zapewnia użytkownikowi bardziej szczegółową kontrolę nad zarządzaniem urządzeniami USB, zachowując jednocześnie tę izolację. Niemniej jednak bardzo ważne jest, aby użytkownicy zdali sobie sprawę, że nie ma "automatyzmu". rozwiązania szkodliwych problemów z USB. Użytkownicy powinni zaplanować swoją kompartmentalizację w tym celu.
- Powinniśmy również wspomnieć, że Qubes od dawna obsługuje bezpieczną wirtualizację pewnej klasy urządzeń USB, w szczególności urządzeń pamięci masowej (takich jak dyski flash i zewnętrzne dyski twarde), a ostatnio także myszy USB. Należy pamiętać, że zawsze lepiej jest korzystać z tych specjalnych, zoptymalizowanych pod względem bezpieczeństwa protokołów, gdy są dostępne, a nie z ogólnego przekazu USB.
- Coś dla oka zmienialiśmy z KDE na Xfce4 jako domyślne środowisko graficzne w dom0. Przyczyny zmiany to stabilność, wydajność i estetyka, jak wyjaśniono tutaj. Mamy nadzieję, że nowe domyślne środowisko graficzne zapewni lepszą obsługę wszystkim użytkownikom, Qubes 3.2 obsługuje także menedżerów okien KDE, awesome i i3.
Co nowego w wersji 3.2:
- Jedną z głównych funkcji, którą ulepszyliśmy w tej wersji, jest nasza zintegrowana infrastruktura zarządzania, która została wprowadzona w Qubes 3.1. O ile przedtem można było zarządzać całymi maszynami wirtualnymi, możliwe jest również zarządzanie wewnętrznymi maszynami wirtualnymi.
- Głównym wyzwaniem, któremu musieliśmy stawić czoła, było umożliwienie tak ścisłej integracji oprogramowania mechanizmu zarządzania (do którego używamy Salt) z potencjalnie niezaufanymi maszynami wirtualnymi bez otwierania dużej powierzchni ataku na (złożonym) kodzie zarządzania. Uważamy, że znaleźliśmy eleganckie rozwiązanie tego problemu, który wdrożyliśmy w Qubes 3.2.
- Używamy teraz tej funkcji zarządzania do podstawowej konfiguracji systemu podczas instalacji, do przygotowywania naszych automatycznych testów i do stosowania różnych niestandardowych konfiguracji. W przyszłości wyobrażamy sobie prostą aplikację GUI, która pozwala użytkownikom pobierać gotowe do użycia receptury soli do konfigurowania różnych rzeczy, na przykład ...
- Wstępnie skonfigurowane aplikacje zoptymalizowane pod kątem korzystania z podziału na grupy Qubes, takie jak Thunderbird z Qubes Split GPG
- Interfejs użytkownika i dostosowania systemowe dla konkretnych przypadków użycia
- Zdalne zarządzanie i integracja korporacyjna
- Te funkcje są planowane w nadchodzących wydaniach Qubes 4.x.
- W programie Qubes 3.2 wprowadzamy również funkcję przekazywania USB, która umożliwia przypisywanie do urządzeń AppVM pojedynczych urządzeń USB, takich jak kamery, portfele sprzętowe Bitcoin i różne urządzenia FTDI. Oznacza to, że teraz można używać Skype'a i innego oprogramowania do wideokonferencji w Qubes!
- Qubes wspiera piaskownicę urządzeń USB od samego początku (2010), ale złapaniem zawsze było to, że wszystkie urządzenia USB podłączone do tego samego kontrolera USB musiały zostać przypisane do tej samej maszyny wirtualnej. Ograniczenie to wynikało z podstawowej architektury sprzętowej (w szczególności technologii PCIe i VT-d).
- Możemy teraz obejść to ograniczenie, wykorzystując backend oprogramowania. Cena, jaką za to płacimy, to zwiększona powierzchnia ataku na zapleczu, co jest ważne w przypadku, gdy kilka urządzeń USB o różnych kontekstach zabezpieczeń jest połączonych z jednym kontrolerem. Niestety, na laptopach prawie zawsze tak jest. Kolejnym potencjalnym problemem związanym z bezpieczeństwem jest to, że wirtualizacja USB nie uniemożliwia potencjalnie szkodliwemu urządzeniu USB atakowania maszyny wirtualnej, do której jest ona podłączona.
- Te problemy nie są nierozerwalnie związane z systemem Qubes. W rzeczywistości stanowią one jeszcze większe zagrożenie dla tradycyjnych, monolitycznych systemów operacyjnych. W przypadku Qubes przynajmniej możliwe było odizolowanie wszystkich urządzeń USB od AppVMów użytkownika. Nowa funkcja przekazywania USB zapewnia użytkownikowi bardziej szczegółową kontrolę nad zarządzaniem urządzeniami USB, zachowując jednocześnie tę izolację. Niemniej jednak bardzo ważne jest, aby użytkownicy zdali sobie sprawę, że nie ma "automatyzmu". rozwiązania szkodliwych problemów z USB. Użytkownicy powinni zaplanować swoją kompartmentalizację w tym celu.
- Powinniśmy również wspomnieć, że Qubes od dawna obsługuje bezpieczną wirtualizację pewnej klasy urządzeń USB, w szczególności urządzeń pamięci masowej (takich jak dyski flash i zewnętrzne dyski twarde), a ostatnio także myszy USB. Należy pamiętać, że zawsze lepiej jest korzystać z tych specjalnych, zoptymalizowanych pod względem bezpieczeństwa protokołów, gdy są dostępne, a nie z ogólnego przekazu USB.
- Coś dla oka zmienialiśmy z KDE na Xfce4 jako domyślne środowisko graficzne w dom0. Przyczyny zmiany to stabilność, wydajność i estetyka, jak wyjaśniono tutaj. Mamy nadzieję, że nowe domyślne środowisko graficzne zapewni lepszą obsługę wszystkim użytkownikom, Qubes 3.2 obsługuje także menedżerów okien KDE, awesome i i3.
Co nowego w wersji 3.1:
- Stos zarządzania oparty na stosie soli w dom0 - dokumentacja
- Gotowe rozwiązanie Whonix
- Wsparcie UEFI
- Edycja LIVE (wciąż alfa, nie jest częścią R3.1-rc1)
- Zaktualizowano sterowniki GPU w dom0
- Kolorowe ikony aplikacji okna (zamiast tylko kolorowej ikony kłódki)
- Wsparcie PV Grub (dokumentacja)
- Konfiguracja USB VM po wyjęciu z pudełka, w tym obsługa myszy USB
- Xen został zaktualizowany do wersji 4.6, aby uzyskać lepszą obsługę sprzętu (zwłaszcza platforma Skylake)
- Poprawa elastyczności proxy aktualizacji - szczególnie repozytoriów obsługiwanych przez HTTPS
Co nowego w wersji 3.0:
- Qubes jest teraz oparty na tym, co nazywamy warstwą abstrakcji hiperwizora (HAL), która oddziela logikę Qubes od bazowego hiperwizora. Umożliwi nam to łatwe przełączanie bazowych hipernadzorców w niedalekiej przyszłości, być może nawet w czasie instalacji, w zależności od potrzeb użytkownika (należy rozważyć kompromisy między kompatybilnością sprzętu i wydajnością a wymaganymi właściwościami zabezpieczeń, takimi jak np. Redukcja ukrytych kanałów między maszynami wirtualnymi , co może mieć znaczenie dla niektórych użytkowników). Bardziej filozoficznie jest to dobra manifestacja tego, jak system operacyjny Qubes jest naprawdę "nie kolejnym systemem wirtualizacji", ale raczej: użytkownikiem systemu wirtualizacji (takiego jak Xen).
- Dokonaliśmy aktualizacji z Xen 4.1 do Xen 4.4 (teraz to było naprawdę łatwe dzięki HAL), co pozwoliło na: 1) lepszą kompatybilność sprzętową (np. UEFI wkrótce w wersji 3.1), 2) lepszą wydajność (np. poprzez libvchan Xena, który zastąpił nasz vchan). Ponadto nowa struktura Qubes qrexec, która zoptymalizowała wydajność dla usług między-VM.
- Wprowadziliśmy oficjalnie obsługiwane szablony Debiana.
- I wreszcie: zintegrowaliśmy szablony Whonix, które optymalizują przepływy pracy Tora dla Qubes
Co nowego w wersji 2.0 / 3.0 RC1:
- Implementuje nową architekturę abstrakcyjną hypervisora (którą nazywamy: HAL) i wprowadza mnóstwo nowych funkcji: Xen 4.4, nowy qrexec i przynosi wiele nowych szablonów VM z pełną integracją Qubes : Debian 7 i 8, Whonix 9 i wiele innych.
- Zapewnia również ważne modyfikacje i ulepszenia naszego systemu kompilacji.
Co nowego w wersji 2.0:
- Po wydaniu Qubes rc1 kilka miesięcy temu byliśmy świadkami wielu problemów związanych z zawodnymi startami VM. Najbardziej rozpowszechniony problem został sprowadzony do błędu upstream w systemie Systemd, który właśnie pojawił się w systemie Qubes ze względu na szczególne warunki narzucone przez nasze skrypty startowe.
- Właściwie to nie pierwszy raz, gdy niektóre rzeczy związane z bootowaniem lub inicjalizacją maszyny wirtualnej nie działały całkiem dobrze na Qubesie, efekt uboczny intensywnych optymalizacji i rozbiórki robimy, aby maszyny VM były lekkie jak to możliwe. Na przykład. nie uruchamiamy większości środowiska graficznego, które w przeciwnym razie jest uruchamiane przez różne aplikacje i usługi związane z komputerami. W większości przypadków są to problemy typu NOTOURBUG, ale mamy po prostu pecha, że manifestują się na Qubes. Potrzebujemy więcej pomocy ze strony społeczności, testując, debugując i łatając takie problemy z NOTOURBUG w upstream. Im więcej osób korzysta z systemu operacyjnego Qubes, tym większe szanse na to, że problemy te zostaną rozwiązane znacznie szybciej. Idealnie byłoby, gdybyśmy w przyszłości mogli współpracować z dystrybucją Linuksa, która obejmowałaby Qubes AppVM jako jeden z przypadków testowych.
- Mówiąc o różnych dystrybucjach Linuksa - niedawno zbudowaliśmy i wydaliśmy eksperymentalny ("beta") szablon Debiana dla Qubes AppVMs, popularnej prośby wyrażanej przez naszych użytkowników od dłuższego czasu. Można go łatwo zainstalować za pomocą tylko jednego polecenia, jak opisano na wiki. Powinien zachowywać się jak pierwszorzędna aplikacja QVibes AppVM z wszystkimi cechami integrującymi VM, takimi jak bezszwowa wirtualizacja GUI, bezpieczny schowek, bezpieczna kopia plików i inna integracja, wszystko działa po wyjęciu z pudełka. Specjalne podziękowania dla naszych współautorów społeczności za udostępnienie większości łat wymaganych do przeniesienia naszych agentów i innych skryptów do Debiana. Ten szablon jest obecnie dostępny za pośrednictwem naszego szablonu-repo społeczności, ale mimo to został zbudowany i podpisany przez ITL, a także skonfigurowany do pobierania aktualizacji (dla narzędzi Qubes) z naszego serwera, ale czekamy, aby ktoś ze społeczności wziął od nas konserwacja (budowa, testowanie) aktualizacji tego szablonu.
- Również w naszym "Sklepie szablonów" & quot; możesz teraz znaleźć eksperymentalny "minimalny" szablon oparty na fedorze, który może być używany przez bardziej zaawansowanych użytkowników do budowania niestandardowych maszyn wirtualnych i szablonów specjalnego przeznaczenia.
- Przenieśliśmy nasz serwer Wiki do większej instancji EC2, aby mógł lepiej obsługiwać zwiększony ruch, a także dodać prawdziwy certyfikat SSL podpisany przez CA! Zachęcam jednak ludzi do przeczytania, dlaczego jest to w dużej mierze nieistotne z punktu widzenia bezpieczeństwa i dlaczego wciąż powinni sprawdzać podpisy pod ISO.
- Otrzymaliśmy również nowe logo (właściwie nigdy wcześniej nie mieliśmy własnego logo). Oznacza to również, że Qubes ma teraz swój własny zestaw motywów dla instalatora, plymoutha i oczywiście fajnych tapet z ładnie wygrawerowanym logo Qubes. Okazało się jednak, że przekonanie KDE do ustawienia naszej tapety jako domyślnej przekracza możliwości umysłowe ITL, więc trzeba kliknąć prawym przyciskiem myszy na pulpicie i ręcznie wybrać jedną z tapet marki Qubes po instalacji lub aktualizacji.
- Od czasu do czasu ludzie (re-) odkrywają, że monolityczne systemy operacyjne oparte na jądrze nie są najlepszym rozwiązaniem, gdy użytkownik nawet zdalnie dba o bezpieczeństwo ...
- Tak, brak poczucia bezpieczeństwa w sieci USB, a także powszechna niepewność w zakresie GUI, niepewność w stosach sieciowych, trywialna fizyczna niepewność lub model zezłośliwienia stosowany w większości systemów komputerowych, są znane od lat. Rozpoznanie tych problemów było dla nas główną motywacją do rozpoczęcia prac nad systemem Qubes w latach 2009/2010.
- Tak, Qubes działający na odpowiednim sprzęcie (w szczególności z Intel VT-d) może rozwiązać większość tych problemów. Korekta: Qubes OS może umożliwić użytkownikowi lub administratorowi rozwiązanie tych problemów, ponieważ niestety wymaga to jeszcze pewnych decyzji konfiguracyjnych podjętych przez operatora. Więc dzisiaj Qubes R2 jest jak sportowa ręczna skrzynia biegów, która wymaga odrobiny umiejętności, aby jak najlepiej wykorzystać ją. W najbliższej przyszłości nie widzę powodu, dla którego nie powinniśmy oferować "automatycznej 8-biegowej transmisji". edycja systemu Qubes. Potrzebujemy tylko więcej czasu, aby się tam dostać. Wersja R3 (oparta na Odyssey), której wczesny kod ma zostać zwolniony zaraz po "ostatecznym". R2, więc kiedyś we wrześniu, przybliża nas do tej "automatycznej skrzyni biegów" wersja.
- Z moim ponad 10-letnim doświadczeniem jako analityka bezpieczeństwa na poziomie systemu wierzę, że nie ma innego wyjścia. Nie łudźcie się, że bezpieczne języki lub formalnie zweryfikowane mikrojądra mogą rozwiązać te problemy. Bezpieczeństwo przez Izolację, zrobione rozsądnie, jest jedyną drogą do przejścia (oczywiście nie wyklucza użycia pewnych formalnie zweryfikowanych komponentów, takich jak np. Mikrojądło zamiast Xena, przynajmniej w niektórych wydaniach Qubes).
Co nowego w wersji 2 RC1:
- Zarówno Dom0, jak i maszyny wirtualne zostały uaktualnione do Fedory 20.
- Obsługa pełnego pobierania szablonów za pomocą dwóch nowych definicji repo: templates-itl i templates-community. Przy odrobinie wyobraźni możemy nazwać to Qubes "AppStore". w przypadku maszyn wirtualnych :) Obecnie opublikowaliśmy tylko jeden szablon - nowy domyślny szablon oparty na fc20, ale planujemy przesłać więcej szablonów w nadchodzących tygodniach (takich jak stworzone przez społeczność szablony Arch Linux i Debian). Mimo że mamy oddzielne repozytorium dla szablonów udostępnionych przez społeczność, nadal planujemy budować te szablony sami, ze źródeł (wniesionych).
- Obsługa uruchamiania aplikacji Windows AppVM w trybie "pełny pulpit" tryb z obsługą dowolnego rozmiaru okna (który automatycznie dostosowuje rozdzielczość w maszynach wirtualnych).
- Obsługa szybkiego przełączania między "pełnym pulpitem" i "płynny" tryby dla Windows AppVM.
Co nowego w wersji 2 Beta 3:
- Bezproblemowa wirtualizacja GUI dla aplikacji opartych na systemie Windows 7 AppVM i obsługa szablonów opartych na HVM (np. szablonów opartych na systemie Windows) jest jedną z najbardziej spektakularnych cech tego wydania, jak sądzę. Zostało to już omówione we wcześniejszym wpisie na blogu, a teraz do wiki zostały dodane instrukcje dotyczące instalowania i używania takich aplikacji Windows AppVM.
- Wprowadziliśmy również znacznie bardziej zaawansowaną infrastrukturę do tworzenia kopii zapasowych systemu, dzięki czemu można teraz tworzyć i odtwarzać kopie zapasowe do / od niezaufanych maszyn wirtualnych, co pozwala np. do łatwego tworzenia kopii zapasowych całego systemu na serwerze NAS lub po prostu na urządzenie USB, nie martwiąc się, że ktoś może wykorzystać klienta NAS przez sieć, lub że podłączenie dysku USB z nieprawidłowo utworzoną tablicą partycji lub systemem plików może narazić system na szwank. Chodzi o to, że maszyna wirtualna, która obsługuje magazyn zapasowy (i który może kierować go do NAS lub gdzieś) może zostać naruszona i nadal nie może zrobić niczego, co mogłoby zagrozić (lub nawet DoS) systemowi; wyszukuje dane w kopii zapasowej. Napiszę więcej o wyzwaniach, które musieliśmy rozwiązać i jak to zrobiliśmy w oddzielnym blogu. Jestem bardzo dumny z tego, że większość działań w tym zakresie została wniesiona przez społeczność, a konkretnie przez Olivera Medoca. Dzięki!
- Bardzo prosta funkcja, niemal banalna, ale bardzo ważna z punktu widzenia bezpieczeństwa - teraz możliwe jest ustawienie właściwości "autostart" na wybranych maszynach wirtualnych. Dlaczego jest to tak ważne dla bezpieczeństwa? Ponieważ mogę utworzyć np. UsbVM, przypisz do niego wszystkie moje kontrolery USB, a kiedy ustawię to jako autostartowanie, mogę mieć pewność, że wszystkie moje kontrolery USB zostaną przekazane do takiego AppVM natychmiast po każdym uruchomieniu systemu. Posiadanie takiego UsbVM to bardzo dobry pomysł, jeśli ktoś boi się fizycznych ataków nadchodzących przez urządzenia USB. Teraz może się podwoić jako BackupVM z wyżej wymienionym nowym systemem kopii zapasowych!
- Aby poprawić kompatybilność sprzętową, wysyłamy teraz instalator z wieloma wersjami jądra (3.7, 3.9 i 3.11), umożliwiając uruchomienie instalacji za pomocą dowolnego z nich, np. jeśli okaże się, że jedno jądro nie obsługuje poprawnie karty graficznej - typowy problem, z którym wielu użytkowników borykało się w przeszłości. Wszystkie jądra są również instalowane w ostatecznym systemie, pozwalając użytkownikowi na łatwe uruchomienie z wybranym jądrem Dom0 później, wybierając ten, który najlepiej obsługuje swój sprzęt.
- Kolejnym popularnym problemem z przeszłości był brak wsparcia dla dynamicznie zmieniającego się układu rozdzielczości / ekranu w AppVMs, gdy włączony był drugi monitor lub projektor (który zmienił tylko układ rozdzielczości w Dom0) . Ten problem został rozwiązany, a nowy układ monitora jest dynamicznie propagowany do AppVM, co pozwala na korzystanie z całego ekranu nieruchomości przez aplikacje tam uruchomione.
- Dokonano również znacznej liczby porządków i poprawek. Obejmuje to ujednolicenie ścieżek i nazw poleceń ("The Underscore Revolution", jak to nazywamy), a także refaktoryzację wszystkich komponentów kodu źródłowego (które teraz dokładnie pasują do tego, co mamy na Qubes Odyssey / R3), oraz wiele różne poprawki błędów.
Co nowego w wersji 2 Beta 2:
- Ulepszona dystrybucja Dom0 do najnowszej Fedory 18 (wszystko poprzednie wersje wykorzystały Fedorę 13 dla Dom0!)
- Ulepszony domyślny szablon maszyny wirtualnej także dla Fedory 18
- Ulepszone jądro Dom0 do wersji 3.7.6
- Ulepszone środowisko KDE w Dom0 (KDE 4.9)
- Wprowadzono środowisko Xfce 4.10 dla Dom0 jako alternatywy dla KDE
- Kilka innych poprawek i usprawnień, w tym ostatnio omówiony jednorazowy konwerter PDF oparty na maszynie wirtualnej
Co nowego w wersji 2 Beta 1:
- Obsługa ogólnych w pełni zwirtualizowanych maszyn wirtualnych (bez qemu w TCB!)
- Obsługa integracji Windows AppVMs (schowek, wymiana plików, qrexec, sterowniki pv)
- Zabezpiecz wejście audio, aby wybrać AppVM (użytkownicy Hello Skype!)
- Schowek jest teraz również kontrolowany przez centralne zasady, ujednolicone z innymi zasadami qrexec.
- Niespotykana obsługa TorVM [http://wiki.qubes-os.org/trac/wiki/HvmCreate]
- Eksperymentalne wsparcie dla PVUSB
- Zaktualizowano pakiety Xorg w Dom0, aby obsługiwać nowe GPU
- Obsługa dostosowywania DisposoableVM
- ... i, jak zwykle, różne poprawki i inne ulepszenia
Co nowego w wersji Beta 1:
- Instalator (wreszcie!),
- Udoskonalony mechanizm udostępniania szablonów: maszyny wirtualne usługi mogą teraz opierać się na wspólnym szablonie i można teraz łatwo tworzyć wiele maszyn wirtualnych i sieciowych; uaktualnienia szablonów nie wymagają teraz wyłączania wszystkich maszyn wirtualnych;
- Samodzielne maszyny wirtualne, wygodne do programowania, a także do instalowania najmniej zaufanego oprogramowania,
- Wbudowane, łatwe w użyciu wirtualne maszyny wirtualne,
- Bezproblemowa integracja ikon zwirtualizowanych zasobników (sprawdź zrzuty ekranu!)
- Przeprojektowany plik-kopia między domenami (łatwiej, bezpieczniej),
- Domyślny szablon oparty na Fedorze 14 (x64)
- Racjonalnie kompletny podręcznik użytkownika.
Komentarze nie znaleziono