Qubes OS

A Qubes OS egy biztonságra összpontosító asztali operációs rendszer , amelynek célja a biztonság biztosítása az elkülönítés révén [6] [7] [8] . A virtualizáció a Xen alapú . A felhasználói környezet alapja lehet Fedora , Debian , Whonix , Windows és más operációs rendszerek [9] [10] .

2014. február 16-án Qubes az Access Innovation Prize 2014 döntőse lett az Endpoint Security Solution jelölésben [11] . A győztes egy másik biztonságorientált operációs rendszer, a Tails lett [12] .

Biztonsági célok

A Qubes az elszigetelt biztonság megközelítését valósítja meg [13] . Az a feltételezés, hogy nem létezhet tökéletes, hibamentes asztali környezet . Egy ilyen környezet több millió sornyi kódot , milliárdnyi szoftver / hardver interakciót tartalmaz. Egy kritikus hiba ahhoz vezethet, hogy rosszindulatú szoftverek veszik át a gép irányítását [14] [15] .

Az asztal védelme érdekében a Qubes-felhasználónak ügyelnie kell a különböző környezetek elhatárolására, hogy az egyik összetevő feltörésekor a kártevő csak a fertőzött környezetben lévő adatokhoz férhessen hozzá [16] .

A Qubes-ban az elkülönítés két dimenzióban történik: a hardvervezérlők funkcionális tartományokba oszthatók (például hálózati tartományok, USB -vezérlőtartományok ), míg a felhasználó digitális élete különböző megbízhatósági szintű tartományokban van meghatározva. Például: munkaterület (legmegbízhatóbb), vásárlási tartomány, véletlenszerű tartomány (kevésbé megbízható) [17] . Ezen tartományok mindegyike külön virtuális gépen fut .

A Qubes nem egy többfelhasználós rendszer [18] .

A rendszer architektúra áttekintése

Xen hipervizor és adminisztrációs tartomány (Dom0)

A hypervisor elszigetelést biztosít a virtuális gépek között. A Dom0-nak is nevezett adminisztrációs tartomány (a Xentől örökölt kifejezés) alapértelmezés szerint közvetlen hozzáféréssel rendelkezik az összes hardverhez. A Dom0 üzemelteti a grafikus felhasználói felületet, és kezeli a grafikus eszközöket, valamint a beviteli eszközöket , például a billentyűzetet és az egeret. A GUI tartományban található az X szerver is , amely megjeleníti a felhasználó asztalát és egy ablakkezelőt, amely lehetővé teszi a felhasználó számára az alkalmazások indítását és leállítását, valamint az ablakok kezelését.

A virtuális gépek integrációját az Application Viewer biztosítja, ami azt az illúziót kelti, hogy az alkalmazások futnak az asztalon. Valójában különböző virtuális gépeken vannak tárolva (és elkülönítve). A Qubes ezeket a virtuális gépeket egyetlen közös asztali környezetbe egyesíti.

Mivel a Dom0 biztonságra érzékeny, el van szigetelve a hálózattól. Általában a lehető legkevesebb kapcsolata van más tartományokkal, hogy minimalizálja a fertőzött virtuális gépről származó támadások lehetőségét [19] [20] .

A Dom0 tartomány más virtuális gépek virtuális lemezeit kezeli, amelyek valójában a dom0 fájlrendszer fájljaiban vannak tárolva. A lemezterület megtakarítása különböző virtuális gépek (VM-ek) használatával történik, amelyek ugyanazt a csak olvasható gyökérfájlrendszert használják. Az egyes virtuális gépek felhasználói könyvtáraihoz és beállításaihoz csak külön lemeztárolót használnak. Ez lehetővé teszi a szoftver telepítésének és frissítésének központosítását. Az is lehetséges, hogy csak a kiválasztott virtuális gépre telepítsen alkalmazásokat, ha nem rootként, vagy nem szabványos /rw könyvtárba telepíti őket.

Hálózati tartomány

A hálózati mechanizmus a leginkább érzékeny a külső támadásokra. Ennek elkerülése érdekében különálló, privilegizált virtuális gépben, a Network Domainben van elszigetelve.

Egy további tűzfal virtuális gépet használnak a Linux kernel alapú tűzfal fogadására, így a tűzfal akkor is elszigetelt és védett (mert külön Linux kernelben fut, különálló rendszermagban) Virtuális gép).

Alkalmazási virtuális gép (AppVM)

Az AppVM-ek olyan virtuális gépek, amelyek felhasználói alkalmazások, például webböngésző, e- mail kliens vagy szövegszerkesztő fogadására szolgálnak . Biztonsági okokból ezek az alkalmazások különböző tartományokba csoportosíthatók, például "személyes", "munkahelyi", "vásárlási", "banki" és így tovább. A biztonsági tartományok külön virtuális gépekként (VM-ek) vannak megvalósítva, így egymástól el vannak szigetelve, mintha különböző gépeken futnának.

Egyes dokumentumok vagy alkalmazások eldobható virtuális gépeken is futtathatók fájlkezelő segítségével. A mechanizmus megismétli a homokozó gondolatát: egy dokumentum vagy alkalmazás megtekintése után a teljes eldobható virtuális gép megsemmisül [21] .

Minden biztonsági tartomány színkóddal van ellátva, és minden ablak színkódolt a hozzá tartozó tartomány szerint. Ezért mindig jól látható, hogy az adott ablak melyik területhez tartozik.

Jegyzetek

1. ↑ Qubes OS licenc . Letöltve: 2017. december 28. Az eredetiből archiválva : 2018. március 8.. (határozatlan)
2. ↑ Wong A.D. https://www.qubes-os.org/news/2022/07/18/qubes-4-1-1/
3. ↑ Megjelent a Qubes OS 4.1.1-rc1! . (határozatlan)
4. ↑ Bemutatkozik a Qubes OS – 2010.
5. ↑ https://www.qubes-os.org/doc/license/
6. ↑ A Qubes OS rendszerszintű biztonságban működik . A nyilvántartás (2012. szeptember 5.). Letöltve 2017. december 28. Az eredetiből archiválva : 2019. augusztus 20.. (határozatlan)
7. ↑ DistroWatch Weekly, 656. szám, 2016. április 11 . Letöltve: 2018. június 27. Az eredetiből archiválva : 2018. november 6.. (határozatlan)
8. ↑ Biztonságos asztali számítógépek Qubes segítségével: Bevezetés | Linux Journal . Letöltve: 2018. június 27. Az eredetiből archiválva : 2018. november 6.. (határozatlan)
9. ↑ Qubes OS sablonok . Letöltve: 2017. december 28. Az eredetiből archiválva : 2020. április 23. (határozatlan)
10. ↑ Windows-alapú AppVM-ek telepítése és használata . Letöltve: 2017. december 28. Az eredetiből archiválva : 2019. február 20. (határozatlan)
11. ↑ Kihirdették az Endpoint Security díj döntőseit! . Michael Carbone (2014. február 13.). Letöltve: 2017. december 28. Az eredetiből archiválva : 2015. április 14.. (határozatlan)
12. ↑ A RightsConon bejelentették a 2014-es Access Innovation Prize nyerteseit . Michael Carbone (2014. március 11.). Letöltve: 2017. december 28. Az eredetiből archiválva : 2018. november 12.. (határozatlan)
13. ↑ A számítógépes biztonság három megközelítése . Joanna Rutkowska (2008. szeptember 2.). Letöltve: 2017. december 28. Az eredetiből archiválva : 2020. február 29. (határozatlan)
14. ↑ Qubes OS: Biztonságra tervezett operációs rendszer . Tom hardvere (2011. augusztus 30.). (határozatlan)
15. ↑ Digitális erőd? . The Economist (2014. március 28.). Letöltve: 2017. december 28. Az eredetiből archiválva : 2017. december 29. (határozatlan)
16. ↑ Hogyan védheti meg Önt a hackerek ellen, ha egy számítógépet több valóságra oszt fel ? Vezetékes (2014. november 20.). Letöltve: 2017. december 28. Az eredetiből archiválva : 2017. február 16.. (határozatlan)
17. ↑ Digitális életem felosztása biztonsági tartományokra . Joanna Rutkowska (2011. március 13.). Letöltve: 2017. december 28. Az eredetiből archiválva : 2020. április 21. (határozatlan)
18. ↑ Rutkowska, Joanna Google Csoportok – A Qubes mint többfelhasználós rendszer . Google Csoportok (2010. május 3.). Az eredetiből archiválva : 2011. január 22. (határozatlan)
19. ↑ Nem bízik meg GUI alrendszerében . Joanna Rutkowska (2010. szeptember 9.). Letöltve: 2017. december 28. Az eredetiből archiválva : 2018. november 6.. (határozatlan)
20. ↑ A Linux Security Circus: A grafikus felhasználói felület elkülönítéséről . Joanna Rutkowska (2011. április 23.). Letöltve: 2017. december 28. Az eredetiből archiválva : 2018. november 6.. (határozatlan)
21. ↑ Qubes az eldobható virtuális gépek megvalósításához . OSnews (2010. június 3.). Letöltve: 2017. december 28. Az eredetiből archiválva : 2018. október 3.. (határozatlan)

Linkek

• qubes-os.org - a Qubes OS hivatalos webhelye
• Láthatatlan dolgok labor
• Láthatatlan dolgok blog
• DistroWatch
• Trusted Computing, Intel Trusted Applications Technology , Sandia National Laboratories, 2011. január, Jeremy Daniel Wendt és Max Joseph Giese