OpenForum RSS: Релиз ОС Qubes 3.1, использующей виртуализацию для изоляции ... https://www.opennet.ru/openforum/vsluhforumID3/107097.html Йоанна Рутковская (http://ru.wikipedia.org/wiki/%D0%A0%D1%83%D1%82%D0%BA%D0%BE%D0%B2%D1%81%D0%BA%D0%B0%D1%8F,_%D0%99%D0%BE%D0%B0%D0%BD%D0%BD%D0%B0) (Joanna Rutkowska) представила (http://blog.invisiblethings.org/2016/03/09/qubes-31.html) выпуск операционной системы Qubes 3.1 (https://wiki.qubes-os.org), реализующей идею (https://www.opennet.ru/opennews/art.shtml?num=34732) использования гипервизора для строгой изоляции приложений и компонентов ОС (каждый класс приложений и системные сервисы работают в отдельных виртуальных машинах). Для загрузки подготовлены (https://www.qubes-os.org/downloads/) установочный образ (4.7 Гб) и экспериментальный Live USB. Для работы необходима (https://www.qubes-os.org/hcl/) система с 4 Гб ОЗУ и 64-разрядным CPU Intel или AMD, желательно с поддержкой технологий VT-x/AMD-v и VT-d/AMD IOMMU.<br><br><br>Приложения в Qubes разделены на классы в зависимости от важности обрабатываемых данных и решаемых задач, каждый класс приложений, а также системные сервисы (сетевая подсистема, работа с Релиз ОС Qubes 3.1, использующей виртуализацию для изоляции ... (Аноним) https://www.opennet.ru/openforum/vsluhforumID3/107097.html#50 Wed, 16 Mar 2016 00:45:50 GMT Firejail-ом удобно пользоваться для именно изоляции программ на десктопе.<br><br>Пример:<br>firejail --name=browser --shell=none --net=wlan0 --ip=192.168.120.3/24 firefox<br><br>Поместит "firefox" в контейнер с урезанной и readonly системой, пустым home, где только downloads, 3 процесса и 1 пользователь (private namespaces), stateless /var. С отдельной сетью. Сделав временный macvlan на wlan0 с новым IP, создав namespaces, урезав сисколы SECCOMP, собрав виртуальную иерархию фс из настоящей. Сеть увидит новую машину на 192.168.120.3/24. Это 1 короткой командой. Временный /var, сетевой интерфейс и проч при выходе из браузера перестанут существовать.<br><br>Для пользователя это временная сверхлегкая виртуалка из частей хоста. Как cubeos, только легкое, но менее прочное. На самом деле это и голый системд может, firejail интересен готовыми профилями и тем что сам делает типовые операции. Они сделали контейнеры правильно.<br> Релиз ОС Qubes 3.1, использующей виртуализацию для изоляции ... (Аноним) https://www.opennet.ru/openforum/vsluhforumID3/107097.html#49 Tue, 15 Mar 2016 23:18:59 GMT &gt; Простота тоже относительна. Относительно решаемой задачи - секурити без компромисов.<br><br>Безопаснее всего - не включать. Или хотя-бы к сети не подключаться, но там уже возможны варианты.<br><br>Ты включаешь x86 компьютер. Что происходит? Management Engine - слышал? Прошивка подписана Intel, ее нельзя удалить: шатдаун через 30 мин. ME может использовать сеть чипсета, в обход ОС, делать DMA и проч. Даже ОС переставить можно. Исходники ME firmware - где? Подробнее - на сайте libreboot. Мало? Почитай про SMI. А equation умеет прошивку HDD патчить.<br><br>&gt; Дань скорости, наследие прошлого...<br><br>В настоящем еще интереснее. В современном х86 компьютере есть с десяток служебных процессоров разной степени опасности. Тебе синюю или красную?<br><br>&gt; Ну что ж, если железо против безопасности - софтом тяжко всё исправить.<br><br>Железо в x86 нашпиговано сюрпризами.<br><br>&gt; Т.е. всё-таки имеет место тенденция к разграничению областей доступа.<br><br>Да. Но "без компромиссов" там и близко нет, а сколь-нибудь приличный уровень безопасности при нали Релиз ОС Qubes 3.1, использующей виртуализацию для изоляции ... (solardiz) https://www.opennet.ru/openforum/vsluhforumID3/107097.html#48 Sun, 13 Mar 2016 14:46:51 GMT &gt; А отдельная виртуализация работает в Кубах? Например VirtualBox, VmWare, KVM, Qemu?<br><br>Насчет перечисленных не знаю (вернее, QEMU точно сможет работать как минимум в режиме эмуляции, но вопрос наверняка не об этом). Работает полная виртуализация средствами Xen - в частности, так запускают Windows под Qubes:<br><br>https://www.qubes-os.org/doc/hvm-create/<br>https://www.qubes-os.org/doc/windows-appvms/<br><br>&gt; И по поводу 3Д, я понял что все очень плохо. Либо не <br>&gt; работает вообще, либо частично и медленно.<br><br>При использовании Intel'овой встроенной графики, всё работает полностью (хотя я мало что тестировал). Но медленно. Вероятно, без задействования (встроенного) GPU.<br><br>При этом в dom0 для window manager'а аппаратное ускорение доступно - для всякого там плавного сворачивания/разворачивания окон и т.п.<br><br>&gt; А как с аппаратным ускорением при просмотре HD фильмов?<br><br>Думаю, так же (плохо). Видео обычного разрешения с YouTube смотрятся без проблем, HD я не пробовал.<br><br>Возможен проброс GPU в VM (и тогда должно работать Релиз ОС Qubes 3.1, использующей виртуализацию для изоляции ... (Michael Shigorin) https://www.opennet.ru/openforum/vsluhforumID3/107097.html#47 Sat, 12 Mar 2016 21:37:22 GMT &gt; Временные контейнеры как-то сильно менее ресурсоемки. Хотя и менее прочны.<br>&gt; Зато firejail-ом создаются в любом современном linux на раз-два.<br><br>http://ftp.altlinux.org/pub/people/ldv/hasher/thesis-2005.html :)<br> Релиз ОС Qubes 3.1, использующей виртуализацию для изоляции ... (solardiz) https://www.opennet.ru/openforum/vsluhforumID3/107097.html#46 Sat, 12 Mar 2016 17:45:20 GMT &gt; Персистентность планируется?<br><br>В Qubes есть как постоянные, так и временные VM. Показанные на большинстве скриншотов как раз постоянные. Т.е., например, я поставил Adobe Flash в Untrusted VM, и теперь он там просто есть.<br> Релиз ОС Qubes 3.1, использующей виртуализацию для изоляции ... (commiethebeastie) https://www.opennet.ru/openforum/vsluhforumID3/107097.html#45 Sat, 12 Mar 2016 11:02:49 GMT &gt; в селинукс писать правила для каждого приложения сложно.<br>&gt; в Apparmor проще. мало того можно обучать его доступам для нужной вам <br>&gt; программы.<br>&gt; да и доступ к сети контролируется просто. Смотрите в мануале раздел Network <br>&gt; rules.<br>&gt; http://wiki.apparmor.net/index.php/AppArmor_Core_Policy_Reference <br><br>В selinux тоже обучение появилось.<br> Релиз ОС Qubes 3.1, использующей виртуализацию для изоляции ... (Аноним) https://www.opennet.ru/openforum/vsluhforumID3/107097.html#44 Fri, 11 Mar 2016 15:49:24 GMT Изоляция приложений, какой она не должна быть. Вместо того чтобы сделать хотя бы как в ведроиде.<br> Релиз ОС Qubes 3.1, использующей виртуализацию для изоляции ... (Анонимо) https://www.opennet.ru/openforum/vsluhforumID3/107097.html#43 Fri, 11 Mar 2016 13:15:30 GMT &gt; вот firejail придумали - тот же результат, только за 2 минуты времени, <br>&gt; не говоря уж о том что selinux отключает любой уважающий себя <br>&gt; эксплойт первым же делом.<br><br>Спасибо за ссылку. Действительно, вполне годная реализация seccomp'а<br> Релиз ОС Qubes 3.1, использующей виртуализацию для изоляции ... (Анонимо) https://www.opennet.ru/openforum/vsluhforumID3/107097.html#42 Fri, 11 Mar 2016 13:12:14 GMT Да, спасибо за ликбез!<br>И картину прояснили и время сэкономили!<br>