The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

В безопасной ОС Qubes будет добавлена поддержка одноразовых изолированных окружений

02.06.2010 18:22

Известный специалист по компьютерной безопасности Джоанна Рутковска (Joanna Rutkowska) анонсировала в своем блоге одно из наиболее интересных новшеств грядущей первой бета-версии новой операционной системы Qubes — одноразовые (создаваемые по требованию) виртуальные окружения.

Основной идеей операционной системы Qubes, созданной на базе GNU/Linux, является обеспечение высокого уровня безопасности за счет выполнения приложений в разных «песочницах» (виртуальных окружениях на базе Xen). Уже в альфа-версии была представлена возможность настроить несколько различных окружений, например, для работы, банковских операций, случайного веб-серфинга и т.п. Каждое окружение не может вмешиваться в работу других окружений, однако для удобства пользователя обеспечивается вывод окон приложений на единый рабочий стол, а также поддерживается копирование/вставка данных между окружениями.

Планируемое нововведение — одноразовые виртуальные окружения — является логическим продолжением идеи тотальной изоляции потенциально уязвимых приложений. С точки зрения пользователя это выглядит очень просто: он щелкает правой кнопкой мыши по потенциально опасному файлу и выбирает в контекстном меню «Open in a Disposable VM» (открыть в одноразовом окружении). В следующую секунду он уже видит на своем рабочем столе открытое окно приложения и может работать с выбранным файлом. С точки зрения Qubes, за эту секунду проделывается ряд операций: создается и запускается новое виртуальное окружение, выполняется копирование нужного файла в это окружение и запуск соответствующего приложения.

В качестве примера случая, когда такая функция может быть полезна, Рутковска описывает следующую ситуацию: потенциальный клиент присылает вам по корпоративной почте PDF-файл, в котором якобы содержатся контактная информация. Уязвимости в PDF-движках в наше время отнюдь не редкость, в отличие от уязвимостей при отображении сообщений в почтовых клиентах, особенно при отключенном HTML-рендеринге. Использовав возможную уязвимость в вашем PDF-просмотрщике, злоумышленник может получить доступ как минимум к вашей рабочей переписке, а если вы не параноик и работаете с корпоративной почте в той же «песочнице», что и с другими рабочими материалами, то злоумышленник получит доступ и к ним. В подобной ситуации возможность открыть файл в отдельном виртуальном окружении, которое не содержит ничего интересного, кроме этого файла, является очень полезной.

Реализация поддержки описанной возможности планируется в первой бета-версии Qubes, которая должна выйти в конце лета.

  1. Главная ссылка к новости (http://theinvisiblethings.blog...)
  2. OpenNews: Qubes - новая безопасная операционная система на базе Linux и Xen
  3. Официальный сайт Qubes
Автор новости: Sergey Ptashnick
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/26813-virtual
Ключевые слова: virtual, security, qubes, chroot, limit
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (44) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, аноним (?), 19:56, 02/06/2010 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Это нужно добавлять в убунты и другие дистрибутивы. Отдельная ОС "для безопасности" это бред.
     
     
  • 2.2, bircoph (?), 20:05, 02/06/2010 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Вы вряд ли пожелаете использовать эту ОС для безопасности для обычной работы: такая безопасность (как по виртуалке на каждое приложение) очень сильно ударит по быстродействию и ресурсопотреблению системы. А вот для специальных задач, где безопасность действительно важна и ради неё можно идти на большие жертвы -- это самое то.
     
     
  • 3.4, JL2001 (ok), 20:27, 02/06/2010 [^] [^^] [^^^] [ответить]  
  • +/
    >Вы вряд ли пожелаете использовать эту ОС для безопасности для обычной работы:
    >такая безопасность (как по виртуалке на каждое приложение) очень сильно ударит
    >по быстродействию и ресурсопотреблению системы. А вот для специальных задач, где
    >безопасность действительно важна и ради неё можно идти на большие жертвы
    >-- это самое то.

    это всё надо делать отдельным метапакетом который можно при необходимости установить
    а отдельный дистриб - плохо, и так разведено дистрибов на каждое дупло по затычке

     
     
  • 4.7, User294 (ok), 21:12, 02/06/2010 [^] [^^] [^^^] [ответить]  
  • +1 +/
    >это всё надо делать отдельным метапакетом

    Фигу вам - если думать о параноидальной секурности, надо думать от и до. Одним метапакетом там врядли отделаешься. Ну разве что если он полоси заменит :)

     
     
  • 5.10, аноним (?), 21:58, 02/06/2010 [^] [^^] [^^^] [ответить]  
  • +/
    Т.е. если не делать это отдельной осью, то что, окружения будут изолированные как-то не до конца, или приложения будут как-то не до конца в них помещаться?
     
     
  • 6.20, Сергей Митрофанович (?), 01:02, 03/06/2010 [^] [^^] [^^^] [ответить]  
  • +1 +/
    >Т.е. если не делать это отдельной осью, то что, окружения будут изолированные как-то не до конца, или приложения будут как-то не до конца в них помещаться?

    Нет, просто организация всей системы после установки такого метапакета изменится так, что проще новый дистрибутив сочинить. Там же ведь не просто есть песочница. Там все разнесено по песочницам.

     
     
  • 7.46, аноним (?), 15:29, 04/06/2010 [^] [^^] [^^^] [ответить]  
  • +/
    Вы понятия не имеете ни о какой "организации системы".
     
  • 3.5, аноним (?), 21:03, 02/06/2010 [^] [^^] [^^^] [ответить]  
  • –5 +/
    > Вы вряд ли пожелаете использовать эту ОС для безопасности для обычной работы: такая безопасность (как по виртуалке на каждое приложение) очень сильно ударит по быстродействию и ресурсопотреблению системы.

    Я уж как-нибудь сам разберусь что мне важнее и в каком случае. А вот систему менять если понадобилась фича - это действительно идиотизм.

     
     
  • 4.12, ig0r (??), 22:02, 02/06/2010 [^] [^^] [^^^] [ответить]  
  • +5 +/
    сообщите немедленно о своём решении разработчикам, а то они зря стараются вам угодить.
     
  • 2.6, User294 (ok), 21:11, 02/06/2010 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Это ОС для ультрапараноидальных юзеров :) там довольно большой оверхед по памяти (как бы независимые копии операционок живут) но зато и изоляция частей системы на высоте.
     
     
  • 3.11, аноним (?), 21:59, 02/06/2010 [^] [^^] [^^^] [ответить]  
  • –3 +/
    Спасибо, КО. Проблема в том, что "ОС ради фичи" обречена на гниение. Фичу надо либо добавлять в mainstream дистрибутивы, либо выкидывать, потому что свой дистрибутив руткитска явно поддежривать не будет, и ни на что кроме демонстрации фичи он не годится.
     
     
  • 4.35, User294 (ok), 21:54, 03/06/2010 [^] [^^] [^^^] [ответить]  
  • +/
    >Спасибо, КО. Проблема в том, что "ОС ради фичи" обречена на гниение.

    Фича очень нишевая и кому надо - ее оценят, имхо. Это скорее исследовательский проект и демонстрация возможностей виртулизации чем нечто нужное значительному проценту юзеров на десктопе. А вот какиенить ультрапараноидальные ынтерпрайзники или секурити-конторы всех мастей могут пожалуй фишку и оценить. Гниение? Ха. А такой штуке и ни к чему быть майнстримом. Вы же не ездите на работу на танке, правда? Хоть он и действительно круто бронирован, да. Тем не менее, танки почему-то пользуются спросом. Хоть и нишевым.


     
  • 2.40, PereresusNeVlezaetBuggy (ok), 22:51, 03/06/2010 [^] [^^] [^^^] [ответить]  
  • +/
    > Это нужно добавлять в убунты и другие дистрибутивы. Отдельная ОС "для безопасности" это бред.

    Вот когда этот дистрибутив оформится во что-то цельное, когда будут выявлены хотя бы основные подводные камни, тогда и можно будет думать об интеграции фич в другие дистрибутивы. А пока для всех будет лучше, если оно будет развиваться само по себе.

    Если не согласны, расскажите об этом ещё и разработчикам Linux-ядра, которые каждый свой репозиторий держит. ;)

     

  • 1.3, mma (?), 20:08, 02/06/2010 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    >за эту секунду проделывается ряд операций: создается и запускается новое виртуальное окружение, выполняется копирование нужного файла в это окружение и запуск соответствующего приложения.

    Оптимистично:)

     
  • 1.8, iZEN (ok), 21:23, 02/06/2010 [ответить] [﹢﹢﹢] [ · · · ]  
  • –2 +/
    Платформа для организации изолированных окружений уже есть — называется Solaris Zones.

    А с приходом в FreeBSD ZFSv18 (ZFS snapshot holds) и ZFSv21 (deduplication) в Jail появится возможность моментального создания вложенных изолированных рабочих окружений с минимальным оверхедом на занимаемое дисковое пространство.

     
     
  • 2.29, аноним (?), 13:35, 03/06/2010 [^] [^^] [^^^] [ответить]  
  • +1 +/
    >Платформа для организации изолированных окружений уже есть — называется Solaris Zones.

    И какие же киллер-фичи есть в Solaris Zones, что надо срочно бросить Xen и переделывать Qubes под Solaris?

    >в Jail
    >изолированных рабочих окружений

    Изоляция в джейлах слабовата. Заюзал дырку в ядре и пошел гулять по системе.

    Разница между jail/openvz/lxc и zones/xen/kvm - примерно как между фанерной дверкой со шпингалетом и тяжелой стальной дверью с хорошим замком.

     
     
  • 3.33, jSnake (??), 17:40, 03/06/2010 [^] [^^] [^^^] [ответить]  
  • +/
    Вы путаете.
    Аналог Xen в Solaris - это Logical Domains (LDOM). Это действительно очень похожие вещи (что неудивительно, ибо построено на основе Xen).
    А зона - это полностью изолированная на уровне ядра ось(Solaris или RHEL/CentOS в случае brandz), которая в совокупности с Solaris Containers и Solaris Project даёт просто фантастические возможности для виртуализации и динамического распределения ресурсов. Солярка, по сути, это набор зон без всяких гипервизоров и виртуальных машин, со своими консолями/сетевыми интерфейсами. Прибавьте серверные спарковские домены и сетевую виртуализацию Crossbow - получите представление о той великолепной оси, которую сейчас будут превращать в коврик для бд оракла((
    Иначе говоря, поднять на одном ноуте сетку из нескольких машин безо всяких виртуалок - легко.
    P.S. Не хочу никого обижать, но ничего лучше Solaris 10 пока никто не придумал (в т.ч. AIX/HP-UX).
     
     
  • 4.42, аноним (?), 03:46, 04/06/2010 [^] [^^] [^^^] [ответить]  
  • +/
    Приятно читать олдфага. Тем не менее соплярис умер, и "поднять на одном ноуте сетку из нескольких машин безо всяких виртуалок" можно легко и на Linux, и на FreeBSD.
     
     
  • 5.44, Anon Y Mous (?), 13:35, 04/06/2010 [^] [^^] [^^^] [ответить]  
  • +/
    > Тем не менее соплярис умер

    Ога, однако в проплаченном HP исследовании опрашиваемые почему-то поставили Solaris на первое место как Unix-систему, которую они выбирают для критичных приложений, впереди HP-UX. Некрофилы? Или еще один "провидец"?

     
  • 5.45, Anon Y Mous (?), 13:36, 04/06/2010 [^] [^^] [^^^] [ответить]  
  • +/
    >Тем не менее соплярис умер

    Ссылку забыл: http://www.itpro.co.uk/623683/unix-still-a-hit-for-mission-critical-systems

     
  • 3.43, аноним (?), 03:49, 04/06/2010 [^] [^^] [^^^] [ответить]  
  • +/
    >Разница между jail/openvz/lxc и zones/xen/kvm - примерно как между фанерной дверкой со
    >шпингалетом и тяжелой стальной дверью с хорошим замком.

    Ну это вы зря, kvm и zones место в левой части. Нормальная изоляция только у xen.

     

  • 1.9, Аноним (-), 21:54, 02/06/2010 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Жанка переквалифицировалась? С венды на линукс перешла...
     
     
  • 2.13, аноним (?), 22:03, 02/06/2010 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Думаю, Жанке пофиг, что кромсать
     
  • 2.36, User294 (ok), 21:56, 03/06/2010 [^] [^^] [^^^] [ответить]  
  • +/
    >Жанка переквалифицировалась? С венды на линукс перешла...

    Что логично - инновации теперь будут здесь. А MS теперь будет только вешать лапшу на уши да барыжить файловыми системами 15-летней давности.

     

  • 1.15, Аноним (-), 22:42, 02/06/2010 [ответить] [﹢﹢﹢] [ · · · ]  
  • –4 +/
    Я с первой новости в себя прийти не мог, а тут ещё напомнили. Чего ей freebsd jail не угодили?
    По сабжу: одноразовые окружения - хорошо. :)
     
     
  • 2.17, sHaggY_caT (ok), 00:03, 03/06/2010 [^] [^^] [^^^] [ответить]  
  • +2 +/
    >Чего ей freebsd jail не угодили?

    Они вообще далеки от практического использования, по сравнению с OpenVZ, PVC, Solaris Zones, и, скоро, LXC.

    По сабжу Вашего вопроса, КО подсказывает, что в контейнерах не полная изоляция, в сравнении с виртуализацией.

    Каждый сервис в контейнер, особенно с нормальными лимитами на cpu, память, и диск (жалко, что в OVZ i/o влияние сервисов друг на друга не очень хорошо лимитируется, но зато в остальных контейнерах оно вообще никак не ограничивается), это достаточно реальный вариант, в сабже же рассматривается что-то параноидальное, которое поможет от гипотетического ядерного эсплойта, который в истории тех же VZ-ядер в начале двухтысячных, когда они только-только вышли (и сделали Jails не актуальным), все-таки был.

     
     
  • 3.19, Аноним (-), 01:01, 03/06/2010 [^] [^^] [^^^] [ответить]  
  • –3 +/
    > Они вообще далеки от практического использования, по сравнению с OpenVZ, PVC, Solaris Zones, и, скоро, LXC.

    о том что вы знатный трололо на тему виртуализации мы все уже знаем. Спасибо, мы уже все это слышали.

    А по сабжу: блин, так это еще один Денис Попов! Она случайно не из Нижнего Тагила?

     
     
  • 4.22, sHaggY_caT (ok), 01:14, 03/06/2010 [^] [^^] [^^^] [ответить]  
  • +/

    >А по сабжу: блин, так это еще один Денис Попов! Она случайно
    >не из Нижнего Тагила?

    У нас нет ТВ, на новостных сайтах не пробегало(кажется), но, кажется речь о нем:

    http://www.rg.ru/2010/06/02/reg-ural/os-anons.html

    ?

    Про него делали какую-то передачу?

     
     
  • 5.26, oops (??), 13:05, 03/06/2010 [^] [^^] [^^^] [ответить]  
  • +/
    ого! http://lurkmore.ru/Bolgenos и на хабре тоже было
     
  • 4.23, sHaggY_caT (ok), 01:33, 03/06/2010 [^] [^^] [^^^] [ответить]  
  • +/
    >> Они вообще далеки от практического использования, по сравнению с OpenVZ, PVC, Solaris Zones, и, скоро, LXC.
    >
    >о том что вы знатный трололо на тему виртуализации мы все уже
    >знаем. Спасибо, мы уже все это слышали.
    >
    >А по сабжу: блин, так это еще один Денис Попов! Она случайно
    >не из Нижнего Тагила?

    Кстати, так как народ, читающий новости не регулярно просматривает остальной форум, решила запостить ссылку:

    http://www.opennet.me/openforum/vsluhforumID1/89052.html

    Интересующимся просьба ответить.

     
  • 3.24, аноним (?), 01:49, 03/06/2010 [^] [^^] [^^^] [ответить]  
  • –3 +/
    Как знал что главная борчиха с jail'ами всего opennet'а влезет.

    > Они вообще далеки от практического использования, по сравнению с OpenVZ, PVC, Solaris Zones, и, скоро, LXC.

    Они гораздо ближе к практическому использованию чем весь этот мусор.

    > По сабжу Вашего вопроса, КО подсказывает, что в контейнерах не полная изоляция, в сравнении с виртуализацией.

    И? Может вам для запуска фаирфокса с порнушным сайтом еще и air gap нужен?

    У меня во FreeBSD описанные изолированные окружения работают уже лет как пять, и отдельной системы не требуют.

     
     
  • 4.27, аноним (?), 13:28, 03/06/2010 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Всегда умиляли юные фанбои вроде вас, у которых хватило интеллектуального потенциала осилить только одно решение. А все остальные решения вы поливаете фекалиями вслепую, из-за ваших комплексов. Ведь если вам было лень что-то осилить, значит, это что-то - мусор по определению.

    >Они гораздо ближе к практическому использованию чем весь этот мусор.

    "Мой ваз-шестерка гораздо ближе к практическому применению, чем весь этот мусор вроде лексусов и бмв!!!1"

    >У меня во FreeBSD описанные изолированные окружения работают уже лет как пять, и отдельной системы не требуют.

    "Езжу на своей шестерку уже пять лет, и совершенно не понимаю, зачем нужны другие машины. Правда, она уже проржавела и ломается часто^W^W^W^W^W^W^W"

    Чисто для справки поясню, что виртуализация на уровне ОС (jails, openvz, lxc) по сути своей является защитой "от честных людей". Захотят - сломают, дыры в таких контейнерах находят регулярно.
    А вот ломануть гипервизор уже на порядок сложнее, и это для этого обычно необходимо (но не достаточно) иметь рута в гостевой системе.

     
     
  • 5.28, oops (??), 13:33, 03/06/2010 [^] [^^] [^^^] [ответить]  
  • –1 +/
    изначально, речь и гипервизоре не шла. Вам об одном, вы о другом.
     
     
  • 6.30, аноним (?), 13:37, 03/06/2010 [^] [^^] [^^^] [ответить]  
  • +1 +/
    >изначально, речь и гипервизоре не шла. Вам об одном, вы о другом.

    Речь шла о том, что некий юный писатель постов осилил только одно решение для изоляции и теперь высокомерно поплевывает на другие =)

     
     
  • 7.31, oops (??), 15:19, 03/06/2010 [^] [^^] [^^^] [ответить]  
  • –1 +/
    нет, прочтите сначала
     
  • 5.32, аноним (?), 17:22, 03/06/2010 [^] [^^] [^^^] [ответить]  
  • +/
    Я смотрю мое, "юного фанбоя", высказывание, вас, юного фанбоя, сильно зацепило. Но дискутировать с вами не о чем, вы банально не понимаете о чем идет речь.
     
  • 2.37, User294 (ok), 22:00, 03/06/2010 [^] [^^] [^^^] [ответить]  
  • +/
    >Чего ей freebsd jail не угодили?

    Тем что у нее там как я понимаю все куда как лучше изолировано и в стопицот раз параноидальнее, а хоть и с диким оверхедом за это. Зато и правда выглядит довольно бронированным. А так - она завернула идею делать сие на KVM, чтобы не зависеть от надежности довольно большого ядра а только от маленького гипервизора, который проаудитить на дыры явно реалисичнее. Бздотные jail в этом плане ничем таким не лучше KVM, даже хуже - KVM по идее полную виртуализацию может, а jail ... ну у бздунов вообще с виртуализацией все не ахтецки, мягко говоря. А хотя-бы сетевой стек оно уже умеет виртуализовать? Это допилили наконец?

     

  • 1.16, Аноним (-), 23:41, 02/06/2010 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    а SELinux это не то же самое только красивее и уже работает?
     
     
  • 2.18, sHaggY_caT (ok), 00:04, 03/06/2010 [^] [^^] [^^^] [ответить]  
  • +1 +/
    >а SELinux это не то же самое только красивее и уже работает?

    на хост-системе SELinux с политиками на виртуалки + виртуализация + контейнеры в виртуалках, еще параноидальнее :)

    И, кстати, тоже реально уже сейчас :)


     
  • 2.38, User294 (ok), 22:03, 03/06/2010 [^] [^^] [^^^] [ответить]  
  • +/
    >а SELinux это не то же самое только красивее и уже работает?

    Нет, это не то же самое. Почему-то сплойты залетев в систему этот ваш селинукс вырубают одной левой (тут вон примеры сплойтов повышения привилегий были, как раз с воркэраундом отшивающим ваш селинукс куда подальше). В случае параноидальной системы Рутковской ломать придется уже мелкий гипервизор, который вообще из системы не виден, что как-то уныло и геморройно и дыр в нем не так уж и много скорее всего. В итоге система Руткитской ;) выглядит довольно параноидально и трудноломаемо, в отличие от "просто системы с SELinux".

     

  • 1.25, Sashker (?), 12:01, 03/06/2010 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Любому юзеру "специальное" открывание подозрительного файла в отдельном окружении очень быстро надоест. В общем, городится очередной огород...
     
     
  • 2.34, Crazy Alex (??), 21:24, 03/06/2010 [^] [^^] [^^^] [ответить]  
  • –1 +/
    А много "подозрительных файлов" открывает "любой юзер"? В принципе, параноить в линуксе с его зоопарком насчет того, что вас могут хакнуть через дыру в рендерере - э как-то слишком, но идея "быстро создать виртуалку и что-то конкретное указанное извне в ней запустить" хороша, хотелось бы иметь такое в мэйнстриме. Именно чтобы не долго/нудно конфигурить окружение, а моментально создать...
     
  • 2.39, User294 (ok), 22:04, 03/06/2010 [^] [^^] [^^^] [ответить]  
  • +/
    >Любому юзеру "специальное" открывание подозрительного файла в отдельном окружении очень
    >быстро надоест.

    Разумеется. А вот скажем посмотреть на "возможно вирус" в таком окружении - ничего так :)

     
  • 2.41, PereresusNeVlezaetBuggy (ok), 22:56, 03/06/2010 [^] [^^] [^^^] [ответить]  
  • +/
    >Любому юзеру "специальное" открывание подозрительного файла в отдельном окружении очень быстро надоест.
    >В общем, городится очередной огород...

    А умный админ сделает так, чтобы по дефолту все потенциально опасные файлы открывались в disposable зонах. Если чо надо — копирование и вставка вроде как работают, а больше ничего для просмотра тех же пэдээфок и не надо. Так что идея действительно интересная. Жаль, systrace так и не придумали как пофиксить, можно было бы без лишней виртуализации обойтись, думаю…

     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру