Qubes OS — ориентированная на безопасность настольная операционная система, которая призвана обеспечить безопасность через изоляцию[5][6][7]. Виртуализация осуществляется на базе Xen. Пользовательская среда может быть основана на Fedora, Debian, Whonix, Windows и других операционных системах[8][9].
Qubes OS | |
---|---|
Разработчик | Invisible Things Lab |
Семейство ОС | GNU/Linux |
Основана на | Red Hat Enterprise Linux |
Исходный код | Открытое программное обеспечение (GPLv2)[1] |
Первый выпуск | 7 апреля 2010[3] |
Последняя версия |
|
Последняя тестовая версия | |
Метод обновления | Yum (PackageKit) |
Менеджеры пакетов | RPM |
Поддерживаемые платформы | x86-64 |
Тип ядра | Микроядро (Xen гипервизор с минимальными ОС на базе ядра Linux и другими) |
Интерфейс | Xfce |
Лицензия | GNU GPL 2[4] |
Состояние | Активное |
Веб-сайт | qubes-os.org |
Медиафайлы на Викискладе |
16 февраля 2014 года Qubes стал финалистом в премии Access Innovation Prize 2014 в номинации Endpoint Security Solution[10]. Победителем стал Tails, другая ориентированная на безопасность операционная система[11].
Цели безопасности
правитьQubes реализует подход «безопасность в изоляции»[12]. Предполагается, что не может быть идеальной, безошибочной среды рабочего стола. Такая среда насчитывает миллионы строк кода, миллиарды программных/аппаратных взаимодействий. Одна критическая ошибка может привести к тому, что вредоносное программное обеспечение возьмёт контроль над машиной[13][14].
Чтобы защитить настольный компьютер, пользователь Qubes должен позаботиться о разграничении различных сред, чтобы когда один из компонентов был скомпрометирован, вредоносное ПО получило бы доступ только к данным внутри зараженной среды[15].
В Qubes изоляция обеспечивается в двух измерениях: аппаратные контроллеры могут быть выделены в функциональные домены (например, сетевые домены, домены контроллера USB), тогда как цифровая жизнь пользователя определяется в доменах с разным уровнем доверия. Например: рабочая область (наиболее доверенная), домен покупок, случайный домен (менее доверенный)[16]. Каждый из этих доменов запускается на отдельной виртуальной машине.
Qubes не является многопользовательской системой[17].
Обзор архитектуры системы
правитьГипервизор Xen и административный домен (Dom0)
правитьГипервизор обеспечивает изоляцию между виртуальными машинами. Административный домен, также называемый Dom0 (термин, унаследованный от Xen) имеет прямой доступ ко всем аппаратным средствам по умолчанию. Dom0 размещает домен GUI и управляет графическими устройствами, а также устройствами ввода, например, клавиатурой и мышью. Домен GUI также размещает X-сервер, который отображает рабочий стол пользователя и диспетчер окон, который позволяет пользователю запускать и останавливать приложения и управлять их окнами.
Интеграция виртуальных машин обеспечивается через Application Viewer, который создает иллюзию, что приложения выполняются на рабочем столе. На самом деле они размещаются (и изолированы) на разных виртуальных машинах. Qubes объединяет все эти виртуальные машины в одну общую среду рабочего стола.
Поскольку Dom0 чувствителен к безопасности, он изолирован от сети. Как правило, он имеет как можно меньшую связь с другими доменами, чтобы свести к минимуму возможность атаки, происходящей с зараженной виртуальной машины[18][19].
Домен Dom0 управляет виртуальными дисками других виртуальных машин, которые фактически хранятся в файлах файловой системы dom0. Место на диске сохраняется благодаря использованию различных виртуальных машин (VM), которые используют одну и ту же корневую файловую систему в режиме только для чтения. Отдельное дисковое хранилище используется только для пользовательских каталогов и настроек для каждой виртуальной машины. Это позволяет централизовать установку и обновление программного обеспечения. Также возможно устанавливать приложения только на выбранную VM, устанавливая их не как суперпользователь или устанавливая их в нестандартный каталог /rw.
Сетевой домен
правитьСетевой механизм наиболее подвержен внешним атакам. Чтобы избежать этого, он изолирован в отдельной непривилегированной виртуальной машине, называемой Сетевой домен.
Дополнительная виртуальная машина брандмауэра используется для размещения брандмауэра на базе ядра Linux, так что даже если сетевой домен скомпрометирован из-за ошибки драйвера устройства, брандмауэр все ещё изолирован и защищен (поскольку он работает в отдельном ядре Linux в отдельной виртуальной машине).
Виртуальная машина приложений (AppVM)
правитьAppVM — это виртуальные машины, используемые для размещения пользовательских приложений, таких как веб-браузер, почтовый клиент или текстовый редактор. В целях безопасности эти приложения могут быть сгруппированы в разных доменах, таких как «личные», «работа», «покупки», «банк» и так далее. Домены безопасности реализованы как отдельные виртуальные машины (VM), поэтому изолируются друг от друга, как если бы они выполнялись на разных машинах.
Некоторые документы или приложения можно запускать в одноразовых виртуальных машинах с помощью файлового менеджера. Механизм повторяет идею песочницы: после просмотра документа или приложения вся одноразовая виртуальная машина будет уничтожена[20].
Каждый домен безопасности помечен цветом, и каждое окно помечено цветом домена, к которому он принадлежит. Поэтому всегда хорошо видно, к какой области принадлежит данное окно.
Примечания
править- ↑ Qubes OS License . Дата обращения: 28 декабря 2017. Архивировано 8 марта 2018 года.
- ↑ Qubes OS 4.1.1-rc1 has been released! Дата обращения: 29 июня 2022. Архивировано 21 июля 2022 года.
- ↑ Introducing Qubes OS — 2010.
- ↑ https://www.qubes-os.org/doc/license/
- ↑ Qubes OS bakes in virty system-level security . The Register (5 сентября 2012). Дата обращения: 28 декабря 2017. Архивировано 20 августа 2019 года.
- ↑ DistroWatch Weekly, Issue 656, 11 April 2016 . Дата обращения: 27 июня 2018. Архивировано 6 ноября 2018 года.
- ↑ Secure Desktops with Qubes: Introduction | Linux Journal . Дата обращения: 27 июня 2018. Архивировано 6 ноября 2018 года.
- ↑ Qubes OS Templates . Дата обращения: 28 декабря 2017. Архивировано 23 апреля 2020 года.
- ↑ Installing and using Windows-based AppVMs . Дата обращения: 28 декабря 2017. Архивировано 20 февраля 2019 года.
- ↑ Endpoint Security Prize Finalists Announced! Michael Carbone (13 февраля 2014). Дата обращения: 28 декабря 2017. Архивировано 14 апреля 2015 года.
- ↑ 2014 Access Innovation Prize winners announced at RightsCon . Michael Carbone (11 марта 2014). Дата обращения: 28 декабря 2017. Архивировано 12 ноября 2018 года.
- ↑ The three approaches to computer security . Joanna Rutkowska (2 сентября 2008). Дата обращения: 28 декабря 2017. Архивировано 29 февраля 2020 года.
- ↑ Qubes OS: An Operating System Designed For Security . Tom's hardware (30 августа 2011). Дата обращения: 28 декабря 2017. Архивировано 26 сентября 2011 года.
- ↑ A digital fortress? The Economist (28 марта 2014). Дата обращения: 28 декабря 2017. Архивировано 29 декабря 2017 года.
- ↑ How Splitting a Computer Into Multiple Realities Can Protect You From Hackers . Wired (20 ноября 2014). Дата обращения: 28 декабря 2017. Архивировано 16 февраля 2017 года.
- ↑ Partitioning my digital life into security domains . Joanna Rutkowska (13 марта 2011). Дата обращения: 28 декабря 2017. Архивировано 21 апреля 2020 года.
- ↑ Rutkowska, Joanna Google Groups - Qubes as a multi-user system . Google Groups (3 мая 2010). Архивировано 22 января 2011 года.
- ↑ (Un)Trusting your GUI Subsystem . Joanna Rutkowska (9 сентября 2010). Дата обращения: 28 декабря 2017. Архивировано 6 ноября 2018 года.
- ↑ The Linux Security Circus: On GUI isolation . Joanna Rutkowska (23 апреля 2011). Дата обращения: 28 декабря 2017. Архивировано 6 ноября 2018 года.
- ↑ Qubes To Implement Disposable Virtual Machines . OSnews (3 июня 2010). Дата обращения: 28 декабря 2017. Архивировано 3 октября 2018 года.
Ссылки
править- qubes-os.org — официальный сайт Qubes OS
- Invisible Things Lab
- Invisible Things Blog
- DistroWatch
- Надежные вычислительные технологии, технология надежных приложений Intel, Sandia National Laboratories, январь 2011 года, Джереми Даниэль Вендт и Макс Джозеф Гизе