Кандидат в релизы дистрибутива Qubes, использующего Xen для изоляции приложений

23.07.2012 13:53

Представлен кандидат в релизы Linux-дистрибутива Qubes, реализующего идею строгой изоляции приложений и компонентов ОС с задействованием системы виртуализации Xen. Приложения в Qubes разделены на классы в зависимости от важности обрабатываемых данных и решаемых задач, каждый класс приложений, а также системные сервисы (сетевая подсистема, работа с хранилищем и т.п.), работают в отдельных виртуальных машинах. При этом указанные приложения бесшовно доступны в рамках одного рабочего стола и выделяются для наглядности разным цветом обрамления окна. Каждое окружение имеет доступ на чтение к базовой корневой ФС и локальному хранилищу, не пересекающемуся с хранилищами других окружений, для организации взаимодействия приложений используется специальный сервис.

Представленная версия является последним тестовым выпуском перед финальным релизом Qubes 1.0, который ожидается в течение нескольких недель. Для загрузки доступен установочный образ, размером 1.5 Гб. Для работы Qubes необходима система с 4 Гб ОЗУ, 64-разрядным CPU Intel или AMD, желательно с поддержкой технологий VT-d или AMD IOMMU. Из графических карт в полной мере поддерживается только Intel GPU, при использовании NVIDIA наблюдаются проблемы, а работа карт AMD/ATI не протестирована.

По сравнению с третьей бета-версией в Qubes 1.0-RC1 отмечаются следующие улучшения:

Значительно улучшенный конфигуратор Qubes Manager, позволяющий настраивать и управлять работой большинства подсистем Qubes через простой GUI-интерфейс;
Содержимое виртуальных машин генерируется на основе шаблона, построенного на пакетной базе Fedora 17. В качестве ядра Linux задействована версия 3.2.7-pvops с улучшенной поддержкой оборудования и управления питанием;
Почищены и переработны инструменты командной строки, как для Dom0, так и для виртуальных машин;
Переработано меню, добавлены новые пиктограммы, по которым, например, легче отличить бразуер для работы с платёжными системами от браузера для обычной навигации по сайтам;
Поддержка yum-прокси для ускорения распространения обновлений внутри виртуальных машин без предоставления доступа к HTTP в данных окружениях;
Поддержка возможности запуска выбранных виртуальных машин в полноэкранном режиме.

исправить +9 +/–

Лицензия: CC BY 3.0

Короткая ссылка: https://opennet.ru/34391-qubes

Ключевые слова: qubes, virtual

При перепечатке указание ссылки на opennet.ru обязательно

Обсуждение (57)

1.1, бедный буратино (ok), 13:54, 23/07/2012 [ответить] [﹢﹢﹢] [ · · · ]	+/–
Разве это нельзя сделать через lxc? Без: > необходима система с 4 Гб ОЗУ, 64-разрядным CPU Intel или AMD, желательно с поддержкой технологий VT-d или AMD IOMMU.

2.2, Ph0zzy (ok), 14:10, 23/07/2012 [^] [^^] [^^^] [ответить]	+2 +/–
Про голубую пилюлю Рутковской слашал? вот этот дистрибутив разрабатывается как имющий к ней имунитет.

3.4, бедный буратино (ok), 14:53, 23/07/2012 [^] [^^] [^^^] [ответить]	+/–
Девушка своим антивирусом свой вирус рекламирует? :) Оригинально.

4.31, Аноним (-), 21:54, 23/07/2012 [^] [^^] [^^^] [ответить]	+/–
> Девушка своим антивирусом свой вирус рекламирует? :) Оригинально. А это не антивирус. Это система ориентированная на высокую культуру быта^W^W безопасность.

5.53, коксюзер (?), 08:55, 26/07/2012 [^] [^^] [^^^] [ответить]

+/–

>> Девушка своим антивирусом свой вирус рекламирует? :) Оригинально.
> А это не антивирус. Это система ориентированная на высокую культуру быта^W^W безопасность.

В этой системе авторы сосредоточились на единственной идее изоляции для локализации потенциального вреда в случае взлома изолированных приложений. Для усиления защиты самих приложений не сделано ничего, по сравнению с любым обычным дистрибутивом линукса. То есть, если вас успокаивает мысль, что взломавшие ваш почтовый клиент сольют только вашу почту, Qubes для вас. Если предпочитаете предотвратить взлом, смотрите в сторону Hardened Gentoo, Openwall (ядро с Grsecurity придётся собрать самостоятельно) и Alpine (серверный дистрибутив).

Кстати, недавняя уязвимость к повышению привилегий в Xen должна расставить все точки над i в случае Qubes для тех, кто ещё сомневался.

3.9, Аноним (-), 15:28, 23/07/2012 [^] [^^] [^^^] [ответить]	+/–
Этого можно добиться и без ксенокостылей

4.13, Аноним (-), 17:31, 23/07/2012 [^] [^^] [^^^] [ответить]	+/–
> Этого можно добиться и без ксенокостылей Опенвзкостылями?

2.12, Аноним (-), 17:31, 23/07/2012 [^] [^^] [^^^] [ответить]	+/–
> Разве это нельзя сделать через lxc? Без: Нельзя. По словам самих разработчиков LXC, он совершенно не готов для серьезного использования, т.к. рут из контейнера имеет полные полномочия на хосте.

3.21, Аноним (-), 17:52, 23/07/2012 [^] [^^] [^^^] [ответить]	–2 +/–
> рут из контейнера имеет полные полномочия на хосте. Вас обманули. Или вы из какой-то криокамеры выползли. Там уже немало времени как реализован fake root, если что. Который на host - конь в пальто.

4.24, Аноним (-), 20:00, 23/07/2012 [^] [^^] [^^^] [ответить]	+/–
> Вас обманули. Или вы из какой-то криокамеры выползли. Там уже немало времени как реализован fake root, если что. Который на host - конь в пальто. Его с 2009 года собираются реализовать, но так и не осилили.

5.28, Аноним (-), 21:43, 23/07/2012 [^] [^^] [^^^] [ответить]

+/–

> Его с 2009 года собираются реализовать, но так и не осилили.

Вообще-то осилили, уже энное время как.

6.34, Аноним (-), 23:27, 23/07/2012 [^] [^^] [^^^] [ответить]	+/–
> Вообще-то осилили, уже энное время как. Пруф?

7.38, Аноним (-), 23:37, 23/07/2012 [^] [^^] [^^^] [ответить]

+/–

> Пруф?

Новость на опеннете про одно из ядер.

8.40, Аноним (-), 23:54, 23/07/2012 [^] [^^] [^^^] [ответить]	+/–
Замечательно А пруф будет ... текст свёрнут, показать

9.54, коксюзер (?), 08:57, 26/07/2012 [^] [^^] [^^^] [ответить]	+/–
Не будет, потому что из всех запланированных ограничений user namespaces реализо... текст свёрнут, показать

4.37, Аноним (-), 23:34, 23/07/2012 [^] [^^] [^^^] [ответить]	+/–
> Вас обманули. Или вы из какой-то криокамеры выползли. Там уже немало времени как реализован fake root, если что. Который на host - конь в пальто. Да неужели? С каких это пор LXCовый рут потерял право писать любую фигню в sysctl хоста, например?

5.47, Аноним (-), 13:24, 24/07/2012 [^] [^^] [^^^] [ответить]

+/–

> Да неужели? С каких это пор LXCовый рут потерял право писать любую
> фигню в sysctl хоста, например?

С таких с каких он не является настоящим рутом, очевидно.

6.55, коксюзер (?), 08:59, 26/07/2012 [^] [^^] [^^^] [ответить]	+/–
>> Да неужели? С каких это пор LXCовый рут потерял право писать любую >> фигню в sysctl хоста, например? > С таких с каких он не является настоящим рутом, очевидно. http://www.openwall.com/lists/oss-security/2011/10/26/11

2.16, Аноним (-), 17:39, 23/07/2012 [^] [^^] [^^^] [ответить]	+7 +/–
> Разве это нельзя сделать через lxc? Можно, но уровень изоляции будет хуже чем у "руткитской" и ее дистра. Понимаешь, человек написавший Blue Pill уже никогда не сможет согласиться на компромисс. В каком-то роде это правильно. Настоящий спец по безопасности - истинный параноик в чистом виде.

3.45, Аноним (-), 07:38, 24/07/2012 [^] [^^] [^^^] [ответить]	+2 +/–
> Настоящий спец по безопасности - истинный параноик в чистом виде. Люто, бешенно, неистово плюсую.

3.56, коксюзер (?), 09:04, 26/07/2012 [^] [^^] [^^^] [ответить]	+/–
>> Разве это нельзя сделать через lxc? > Можно, но уровень изоляции будет хуже чем у "руткитской" и ее дистра. > Понимаешь, человек написавший Blue Pill уже никогда не сможет согласиться на > компромисс. В каком-то роде это правильно. Настоящий спец по безопасности - > истинный параноик в чистом виде. Они до сих пор живут с компромиссами в Qubes, поскольку до сих пор не реализован ни один из механизмов защиты гипервизора, предложенных их же командой.

2.52, коксюзер (?), 08:33, 26/07/2012 [^] [^^] [^^^] [ответить]	+/–
> Разве это нельзя сделать через lxc? Без: LXC по состоянию на сегодняшний день не предназначен и непригоден для безопасной изоляции (хотя бы на уровне Xen).

1.3, meequz (ok), 14:20, 23/07/2012 [ответить] [﹢﹢﹢] [ · · · ]	+/–
Интересно, интегрируют ли в финальный релиз seccomp filter.

2.17, Аноним (-), 17:45, 23/07/2012 [^] [^^] [^^^] [ответить]

+2 +/–

> Интересно, интегрируют ли в финальный релиз seccomp filter.

Да, в каждой виртуалке надо еще вынос каждого процесса в свой LXC контейнер настроить а там дополнительно придушить половину доступа через selinux, yama, seccomp_filter и прочая, не забыв подхачить половину сисколов через LD_PRELOAD. Разумеется не забыв заменить половину системных утилит на какие-нибудь лулзы.

И главное - не забыть посмотреть на офигевшую морду хакера который долго не будет понимать что же это за фигня такая странная.

1.5, Anonim (??), 14:58, 23/07/2012 [ответить] [﹢﹢﹢] [ · · · ]	+/–
Представляю как взломщик офигеет попав в систему ))

2.6, бедный буратино (ok), 15:05, 23/07/2012 [^] [^^] [^^^] [ответить]	+4 +/–
Там для взломщика, наверное, своя отдельная система. Где заботливо развешаны цветочки в терминале, красивый коврик, и можно даже в angband поиграть. :) Можно даже особо такую поддельную виртуалку не защищать, просто ресурсы залимитировать.

3.18, Аноним (-), 17:46, 23/07/2012 [^] [^^] [^^^] [ответить]

+4 +/–

> даже особо такую поддельную виртуалку не защищать, просто ресурсы залимитировать.

Ну взломшик скорее всего отправит кучу спама или хакнет кого-то. А пилюли - тебе, ибо с твоего айпи :)

1.7, Михрютка (?), 15:11, 23/07/2012 [ответить] [﹢﹢﹢] [ · · · ]	+/–
>We do not provide OpenGL virtualization for AppVMs. >However, Qubes allows for use of accelerated graphics (OpenGL) in Dom0’s Window Manager, so all the fancy desktop effects should still work under Qubes. опаньки. что ж там запускать, кроме браузера и офиса?

2.15, Аноним (-), 17:34, 23/07/2012 [^] [^^] [^^^] [ответить]	+4 +/–
>>We do not provide OpenGL virtualization for AppVMs. >>However, Qubes allows for use of accelerated graphics (OpenGL) in Dom0’s Window Manager, so all the fancy desktop effects should still work under Qubes. > опаньки. что ж там запускать, кроме браузера и офиса? А что, вам нужен высокий уровень безопасности, чтобы играть в игры? Боитесь, что L4D сопрет ваши сейвы из крайзиса?

3.33, Михрютка (?), 22:55, 23/07/2012 [^] [^^] [^^^] [ответить]

+/–

>>>We do not provide OpenGL virtualization for AppVMs.
>>>However, Qubes allows for use of accelerated graphics (OpenGL) in Dom0’s Window Manager, so all the fancy desktop effects should still work under Qubes.
>> опаньки. что ж там запускать, кроме браузера и офиса?
> А что, вам нужен высокий уровень безопасности, чтобы играть в игры? Боитесь,
> что L4D сопрет ваши сейвы из крайзиса?

в душе ниипу что такое L4D. Может, L3D? И это, неужели же ж OpenGL под линуксом нигде, кроме игр, не используют? А то мне в соседних тредах рассказывали про всякие кады, блендеры-шмендеры...

4.36, Аноним (-), 23:31, 23/07/2012 [^] [^^] [^^^] [ответить]	+/–
> А то мне в соседних тредах рассказывали про всякие кады, блендеры-шмендеры... Их лучше запускать под виндой, так безопаснее.

2.19, Аноним (-), 17:47, 23/07/2012 [^] [^^] [^^^] [ответить]

+1 +/–

> опаньки. что ж там запускать, кроме браузера и офиса?

Ну не гамезы же. Вообще, тем кому крутая секурити нужна - гамезы как-то ни к чему особо.

1.8, Аноним (-), 15:14, 23/07/2012 [ответить] [﹢﹢﹢] [ · · · ]	–1 +/–
>каждый класс приложений, а также системные сервисы (сетевая подсистема, работа с хранилищем и т.п.), работают в отдельных виртуальных машинах. Вот что бывает, когда на кухне установлен компьютер.

2.26, Аноним (-), 20:05, 23/07/2012 [^] [^^] [^^^] [ответить]	+/–
>>каждый класс приложений, а также системные сервисы (сетевая подсистема, работа с хранилищем и т.п.), работают в отдельных виртуальных машинах. > Вот что бывает, когда на кухне установлен компьютер. Да-да. Пожалуйста, срочно перестаньте писать комменты на форумах. Вместо этого лучше готовьте борщ, а то муж скоро с работы придет.

2.29, Аноним (-), 21:51, 23/07/2012 [^] [^^] [^^^] [ответить]

+/–

> Вот что бывает, когда на кухне установлен компьютер.

Да, всякие овощи пишут на форумы :(. Вот вы например.

3.32, Аноним (-), 22:48, 23/07/2012 [^] [^^] [^^^] [ответить]	+/–
Аж два раза запостила. :))

4.51, Аноним (-), 16:14, 24/07/2012 [^] [^^] [^^^] [ответить]	+/–
> Аж два раза запостила. :)) Вас глючит - в этом треде нет повторных постов.

4.57, Аноним (-), 14:06, 26/07/2012 [^] [^^] [^^^] [ответить]	+/–
> Аж два раза запостила. :)) Вас глючит - в этом треде нет повторных постов.

1.10, matrix (??), 15:43, 23/07/2012 [ответить] [﹢﹢﹢] [ · · · ]	–4 +/–
Это вообще нафига,и кто будет этим пользоваться? Костыль на костыле.

2.22, ыгчч (?), 18:26, 23/07/2012 [^] [^^] [^^^] [ответить]

–4 +/–

> Это вообще нафига,и кто будет этим пользоваться?

Три с половиной параноика.

> Костыль на костыле.

Лучшая безопасность это когда вообще нихрена не работает.

3.42, Аноним (-), 23:57, 23/07/2012 [^] [^^] [^^^] [ответить]	+/–
> Лучшая безопасность это когда вообще нихрена не работает. Шindoшs - самая безопасная ОС!

1.11, lucentcode (ok), 17:31, 23/07/2012 [ответить] [﹢﹢﹢] [ · · · ]	+/–
Почему Xen? Чем им KVM не угодил? Он же лучше?

2.14, Аноним (-), 17:33, 23/07/2012 [^] [^^] [^^^] [ответить]	+1 +/–
> Почему Xen? Чем им KVM не угодил? Он же лучше? Рутковская как-то писала подробную объясниловку, что KVM очень дырявый и небезопасный по сравнению с Xen.

2.20, Аноним (-), 17:49, 23/07/2012 [^] [^^] [^^^] [ответить]

+/–

> Почему Xen? Чем им KVM не угодил? Он же лучше?

А тут все просто: xen меньше по размеру и стало быть в нем багов теоретически поменьше. Для истинного, элитного параноика в плане безопасности и это - тоже аргумент. Технически вполне валидный, в принципе.

Понимаете, это попытка создать high-security окружение. В нем подходы ко всему и вся - довольно своеобразные.

3.43, saNdro (?), 01:07, 24/07/2012 [^] [^^] [^^^] [ответить]	+/–
Что, выносной гипервизор уже стал меньше ядерного модуля? Или вы к KVM приплюсовываете всё остальное ядро? Тогда уж и к ксину тоже будте любезны. Или вы его можете уже без дом0 запускать? Этакого сферического ксена в оперативке?

4.44, Аноним (-), 04:52, 24/07/2012 [^] [^^] [^^^] [ответить]	+/–
Да. Да. Нет. Можем. Ты бы погуглил вначале про что вообще идет речь, прежде чем распускать нубские слюни.

4.48, Аноним (-), 13:35, 24/07/2012 [^] [^^] [^^^] [ответить]

+/–

> Что, выносной гипервизор уже стал меньше ядерного модуля? Или вы к KVM
> приплюсовываете всё остальное ядро?

Это не я приписываю а руткитска. В конечном итоге арбитраж ресурсов в xen осуществляет все-таки мелкий гипервизор. А в kvm - linux ядро. Первый мельче, так что и багов в нем ожидается меньше.

> Или вы его можете уже без дом0 запускать?

Тут важнее кто и как разруливает арбитраж и кого и как надо хакать чтобы обойти лимиты. Ну и сколько какого кода где.

1.23, Aceler (ok), 19:48, 23/07/2012 [ответить] [﹢﹢﹢] [ · · · ]	+/–
Интересно попробовать такой подход с другой точки зрения — с точки зрения написания Абсолютно Переносимых Приложений — т.е. приложений, которые будут работать в любой ОС и любой среде, предоставившей Xen-виртуализацию.

2.25, Аноним (-), 20:03, 23/07/2012 [^] [^^] [^^^] [ответить]	+/–
> Интересно попробовать такой подход с другой точки зрения — с точки зрения > написания Абсолютно Переносимых Приложений — т.е. приложений, которые будут работать > в любой ОС и любой среде, предоставившей Xen-виртуализацию. Такой подход уже давно реализован, причем неоднократно. Самая известная реализация - Java.

3.27, СуперАноним (?), 20:53, 23/07/2012 [^] [^^] [^^^] [ответить]	+/–
iZEN, добрый вечер!

3.30, Аноним (-), 21:53, 23/07/2012 [^] [^^] [^^^] [ответить]

+/–

> Такой подход уже давно реализован, причем неоднократно. Самая известная реализация - Java.

Обойти песочницу "отдельная система в гипервизоре" сложнее чем "виртуальная машина + рантайм-переросток". Вы сравните размер xen и явы с ее рантаймами. И поймете во сколько раз чаще в яве будет хрень вида "краплет может вылезти из песочницы и выполнить в системе любые действия с правами текущего юзера".

4.35, Аноним (-), 23:30, 23/07/2012 [^] [^^] [^^^] [ответить]	+/–
> Обойти песочницу "отдельная система в гипервизоре" сложнее чем "виртуальная машина + рантайм-переросток". > Вы сравните размер xen и явы с ее рантаймами. И поймете > во сколько раз чаще в яве будет хрень вида "краплет может > вылезти из песочницы и выполнить в системе любые действия с правами > текущего юзера". Xen с установленным внутри полноценным линуксом будет весить явно больше жабовского рантайма. А если к нему прикрутить функции IPC, работы с диском и сетью и прочие фичи, необходимые большинству приложений - возможности вырваться резко возрастут.

5.49, Аноним (-), 13:37, 24/07/2012 [^] [^^] [^^^] [ответить]

+/–

> Xen с установленным внутри полноценным линуксом будет весить явно больше жабовского рантайма.

Не обязательно - сильно зависит от линукса и чего туда напихать. Ну и скорость практически равна нативному коду т.к. нативный код и выполняется, проц не вмешивается покуда нет исключительных ситуаций.

> А если к нему прикрутить функции IPC, работы с диском и сетью
> и прочие фичи, необходимые большинству приложений - возможности вырваться резко возрастут.

Вы так говорите как будто их там нет или как будто у явы этого нет или это не так. А сеть - что сеть? Вон стоит пачка линуксных хостов с жирным интернетом и кучей ресурсов. Что ж их еще не раздолбали?

3.39, Aceler (ok), 23:45, 23/07/2012 [^] [^^] [^^^] [ответить]	+/–
>> Интересно попробовать такой подход с другой точки зрения — с точки зрения >> написания Абсолютно Переносимых Приложений — т.е. приложений, которые будут работать >> в любой ОС и любой среде, предоставившей Xen-виртуализацию. > Такой подход уже давно реализован, причем неоднократно. Самая известная реализация - Java. Спасибо, кэп. Но тут неуправляемый код. И куда меньше проблем с взаимодействием за пределами VM.

4.41, Аноним (-), 23:56, 23/07/2012 [^] [^^] [^^^] [ответить]	+/–
> Спасибо, кэп. Но тут неуправляемый код. И куда меньше проблем с взаимодействием за пределами VM. Рутковская приложила значительные усилия, чтобы код _имел_ возможность взаимодействия (и создания проблем) за пределами VM. И, очевидно, будет работать в этом направлении и дальше. Потому что в 99% полностью изолированная программа - бесполезна.

5.50, Аноним (-), 13:38, 24/07/2012 [^] [^^] [^^^] [ответить]	+/–
> чтобы код _имел_ возможность взаимодействия (и создания проблем) "В случае аварии - выдерни шнур, выдави стекло" :)

3.46, TS (ok), 13:10, 24/07/2012 [^] [^^] [^^^] [ответить]	+/–
Мммм... АПИ/АБИ все равно какое то нужно, не реализовывать же все заново в каждой программе? А частные случаи уже есть - например http://erlangonxen.org/

Добавить комментарий

Текст: