Qubes OS

Материал из Википедии — свободной энциклопедии
Перейти к навигации Перейти к поиску
Qubes OS
Qubes OS Logo.svg
Qubes-OS-Desktop.png
Приложения, работающие в разных доменах безопасности
Разработчик Invisible Things Lab
Семейство ОС GNU/Linux[d]
Исходный код Открытое программное обеспечение (GPLv2)[1]
Первый выпуск 7 апреля 2010[4]
Последняя версия 4.0[2] (28 марта 2018 года)
Последняя тестовая версия
Метод обновления Yum (PackageKit)
Менеджеры пакетов RPM
Поддерживаемые платформы x86-64
Тип ядра Микроядро (Xen гипервизор с минимальными ОС на базе ядра Linux и другими)
Интерфейс Plasma и Xfce
Лицензия GNU GPL 2[5]
Состояние Активное
Веб-сайт qubes-os.org (англ.)
Commons-logo.svg Qubes OS на Викискладе

Qubes OS — ориентированная на безопасность настольная операционная система, которая призвана обеспечить безопасность через изоляцию.[6] Виртуализация осуществляется на базе Xen. Пользовательская среда может быть основана на Fedora, Debian, Whonix, Windows и других операционных системах.[7][8]

16 февраля 2014 года Qubes стал финалистом в премии Access Innovation Prize 2014 в номинации Endpoint Security Solution.[9] Победителем стал Tails, другая ориентированная на безопасность операционная система.[10]

Цели безопасности[править | править код]

Схема доменов безопасности

Qubes реализует подход «безопасность в изоляции».[11] Предполагается, что не может быть идеальной, безошибочной среды рабочего стола. Такая среда насчитывает миллионы строк кода, миллиарды программных/аппаратных взаимодействий. Одна критическая ошибка может привести к тому, что вредоносное программное обеспечение возьмет контроль над машиной.[12][13]

Чтобы защитить настольный компьютер, пользователь Qubes должен позаботиться о разграничении различных сред, чтобы когда один из компонентов был скомпрометирован, вредоносное ПО получило бы доступ только к данным внутри зараженной среды.[14]

В Qubes изоляция обеспечивается в двух измерениях: аппаратные контроллеры могут быть выделены в функциональные домены (например, сетевые домены, домены контроллера USB), тогда как цифровая жизнь пользователя определяется в доменах с разным уровнем доверия. Например: рабочая область (наиболее доверенная), домен покупок, случайный домен (менее доверенный).[15] Каждый из этих доменов запускается на отдельной виртуальной машине.

Qubes не является многопользовательской системой.[16]

Обзор архитектуры системы[править | править код]

Гипервизор Xen и административный домен (Dom0)[править | править код]

Гипервизор обеспечивает изоляцию между виртуальными машинами. Административный домен, также называемый Dom0 (термин, унаследованный от Xen) имеет прямой доступ ко всем аппаратным средствам по умолчанию. Dom0 размещает домен GUI и управляет графическими устройствами, а также устройствами ввода, например, клавиатурой и мышю. Домен GUI также размещает X-сервер, который отображает рабочий стол пользователя и диспетчер окон, который позволяет пользователю запускать и останавливать приложения и управлять их окнами.

Интеграция виртуальных машин обеспечивается через Application Viewer, который создает иллюзию, что приложения выполняются на рабочем столе. На самом деле, они размещаются (и изолированы) на разных виртуальных машинах. Qubes объединяет все эти виртуальные машины в одну общую среду рабочего стола.

Поскольку Dom0 чувствителен к безопасности, он изолирован от сети. Как правило, он имеет как можно меньшую связь с другими доменами, чтобы свести к минимуму возможность атаки, происходящей с зараженной виртуальной машины.[17][18]

Домен Dom0 управляет виртуальными дисками других виртуальных машин, которые фактически хранятся в файлах файловой системы dom0. Место на диске сохраняется благодаря использованию различных виртуальных машин (VM), которые используют одну и ту же корневую файловую систему в режиме только для чтения. Отдельное дисковое хранилище используется только для пользовательских каталогов и настроек для каждой виртуальной машины. Это позволяет централизовать установку и обновление программного обеспечения. Также возможно устанавливать приложения только на выбранную VM, устанавливая их не как суперпользователь или устанавливая их в нестандартную директорию /rw.

Сетевой домен[править | править код]

Сетевой механизм наиболее подвержен внешним атакам. Чтобы избежать этого, он изолирован в отдельной непривилегированной виртуальной машине, называемой Сетевой домен.

Дополнительная виртуальная машина брандмауэра используется для размещения брандмауэра на базе ядра Linux, так что даже если сетевой домен скомпрометирован из-за ошибки драйвера устройства, брандмауэр все еще изолирован и защищен (поскольку он работает в отдельном ядре Linux в отдельной виртуальной машине).

Виртуальная машина приложений (AppVM)[править | править код]

AppVM - это виртуальные машины, используемые для размещения пользовательских приложений, таких как веб-браузер, почтовый клиент или текстовый редактор. В целях безопасности эти приложения могут быть сгруппированы в разных доменах, таких как «личные», «работа», «покупки», «банк» и так далее. Домены безопасности реализованы как отдельные виртуальные машины (VM), поэтому изолируются друг от друга, как если бы они выполнялись на разных машинах.

Некоторые документы или приложения можно запускать в одноразовых виртуальных машинах с помощью файлового менеджера. Механизм повторяет идею песочницы: после просмотра документа или приложения, вся одноразовая виртуальная машина будет уничтожена.[19]

Каждый домен безопасности помечен цветом, и каждое окно помечено цветом домена, к которому он принадлежит. Поэтому всегда хорошо видно, к какой области принадлежит данное окно.

Примечания[править | править код]

Ссылки[править | править код]