SafeGroup

Jakiś czas temu pisałem o projekcie Verve -

[Aby zobaczyć linki, zarejestruj się tutaj]

. Trochę zaciekawiła mnie tematyka tworzenia nowych, bezpiecznychsystemów operacyjnych więc jeszcze jedna dosyć interesująca w moim mniemaniu informacja. Tym razem QubesOSczyli wirtualizacja wszystkiego

Wirtualizacja rozwiązaniem wszystkich problemów bezpieczeństwa.
W systemie Qubes występują dwa rodzaje maszyn wirtualnych. Jeden typ maszyn obsługuje komponenty systemu operacyjnego (np. komponenty sieci, zapis/odczyt do/z pamięci), drugi zaś zajmuje się wirtualizacją poszczególnych programów. Domyślnie każdy z typów maszyn dzieli się na trzy grupy, np. Maszyny Programoweto Biurowe , Prywatnei eksperymentalne- użytkownik ma jednak możliwość doinstalowania potrzebnych mu maszyn. Mniej pola do manewrów dają maszyny systemowe ponieważ, nie zachodzi żadna konieczność zmiany lub dodawania kolejnych grup do trzech już istniejących.

Każdy program oraz komponent systemu operacyjnego uruchamiany jest w indywidualnie przydzielanej maszynie wirtualnej, więc aktywnych maszyn jest tyle, ile programów uruchomionych jest w danym momencie. Celem równoległego zastosowania wielu odizolowanych maszyn jest uniknięcie wykorzystania luk w popularnych programach, zatem potencjalny napastnik nie jest w stanie wydostać się poza „atakowany” program. Ewentualna infekcja programu znika oczywiście po wyłączeniu maszyny.

Xen.
W Qubes OS rolę jądra przejmuje oprogramowanie nazwane hiperwizor Xen. Jest ono odpowiedzialne m.in. za zarządzanie maszynami wirtualnymi i komunikacją maszyn ze sprzętem. Ciekawą różnicą między tradycyjnymi rozwiązaniami znanymi przykładowo z Windows, a Xen-em jest obszerność kodu. Xen składa się z około 100.000 linijek kodu – Windows z ponad 10.000.000. Niestety Xen nie jest pozbawiony wad – jakakolwiek awaria lub błąd wywołany na jego poziomie może rozbroić wszystkie uruchomione przez niego zabezpieczenia.

[Aby zobaczyć linki, zarejestruj się tutaj]

Źródło:

[Aby zobaczyć linki, zarejestruj się tutaj]

Qubes OS jest wytworem mającym polskie korzenie. Szefową projektu jest Joanna Rutkowska.

Pobieranie, informacje, historia i plan prac:

[Aby zobaczyć linki, zarejestruj się tutaj]

.

Informacje: Internet, CHIP 10.2011.

Oparty na Fedorze, ha!
Nie wydaje mi się by Xen był... nie wiem jądrem? To hyperwizor, narzędzie do wirtualizacji. Nie jądro systemu. Jeśli jest inaczej proszę o wytłumaczenie, bo jak zwykle Chip bajki opowiada.
System wymaga 4GB RAM i 10GB miejsca na dysku

Eugeniusz napisał(a):Oparty na Fedorze, ha!
Nie wydaje mi się by Xen był... nie wiem jądrem? To hyperwizor, narzędzie do wirtualizacji. Nie jądro systemu. Jeśli jest inaczej proszę o wytłumaczenie, bo jak zwykle Chip bajki opowiada.
System wymaga 4GB RAM i 10GB miejsca na dysku

Xen nie jest jądrem, bo gdzieś przeczytałem o jądrze w innym kontekście. Nie pamiętam niestety gdzie. Pamięć krótkotrwała. Może moja myśl dokładniej przekaże cytat

Cytat:
Tam, gdzie w Windows, Macu, Linuksie i innych systemach wszystkim steruje ogromne monolityczne jądro, w Qubes OS bezpośrednio na sprzęcie osadzona jest cienka warstwa oprogramowania - hiperwizor Xen.

Po prostu Xen wykonuje większość czynności za które np. w Windowsie odpowiedzialne jest jądro - tak to zrozumiałem.

O i patrz, albo to jest niedopatrzenie autora tekstu, albo jego własna głupota.
Windows - jądro hybrydowe
Linux - jądro monolityczne
Mac - jądro hybrydowe, oparte na mikrokernelu
A tekście widzimy jak byk: Windows, Mac, Linux używają jądra monolitycznego. 1/3 prawidłowe, dobra statystyka (jak na Chip...)
po co ja czytam te gazety.
w Qubes jes tak: mamy zwykłe jądro Linuksa (wzięte z Fedory oczywiście), ale do tego jądra jest "doinstalowany" hyperwizor, w którym startuje (w poważnym uproszczeniu) środowisko graficzne, programy użytkownika. Atakujący nie uzyska dostępu do jądra systemu, tak jak w czasie wirtualizacji na Windows Linuks nie zepsuje nam plików z dysku C:\
Jeśli jest inaczej... proszę wytłumaczcie bo ja tego nie rozumiem...
Aha, też mam ten numer Chipa.

Dzięki za uzupełnienie tematu i naświetlenie błędu, zarówno redakcji Chipa, jak i mojego - niesprawdzone informacje przekazałem dalej. Klapa

Gdzie jest tutaj Twój błąd? Nie widzę czegoś takiego.
:crazy:
Hmm chętnie porozmiawiałbym sobie z takim redaktorkiem z Chipa.

Eugeniusz napisał(a):Gdzie jest tutaj Twój błąd? Nie widzę czegoś takiego.
:crazy:
Hmm chętnie porozmiawiałbym sobie z takim redaktorkiem z Chipa.

Może bardziej niedopatrzenie Mimo wszystko cieszy mnie fakt powstawiania takich niezależnych systemów. Powiedziałbym nawet do zadań specjalnych , bo jak na razie nie ma co mówić o wygodzie pracy (patrząc choćby na aktualne sposoby wymieniania informacji między maszynami wirtualnymi) i funkcjonalności.

W pierwszych słowach przepraszam, że opuściłem aktywność w temacie. Z przyjemnością komunikuję, że projekt ma się nieźle.

6 lutego 2012Joanna Rutkowska napisała na swoim

[Aby zobaczyć linki, zarejestruj się tutaj]

kilka nowinek dotyczących Bety 3 :

- poprawa wielu błędów z wydań wcześniejszych
- dodanie narzędzia qvm-block tool(wspomagające między innymi zarządzanie USB)
- do bazowego systemu dodano plugin do Thunderbird''a pozwalający na szybkie otwieranie załączników w maszynie wirtualnej oraz szybkie zapisywanie wybranych elementów w maszynach. Parę zdań o maszynach wirtualnych napisałem w pierwszym poście.

Od tego wydania szkielet systemu jest oparty o Fedorę 15 (aktualizacja bazowa do Fedory 16 byłaby zbyt czasochłonna ze względu na Gnome 3 i poprawność działania wszystkich jego elementów). Beta 3 jest ostatnim wydaniem przed 1.0 Stable , które jest już testowane przez deweloperów.

Następnie, 3 marcaPani Joanna poinformowała nas o wsparciu dla systemów Windows w projekcie. Prezentuje się całkiem przyzwoicie:

[Aby zobaczyć linki, zarejestruj się tutaj]

Pojęcie wsparciama tutaj raczej rolę umożliwienia wirtualizacji Windows w Qubes. Sprawa nie jest tak powierzchowna jak się wydaję. Aby uzyskać bardziej szczegółowe informacje, zachęcam do przeczytania pełnego

[Aby zobaczyć linki, zarejestruj się tutaj]

Joanny Rutkowskiej.

Informacje:

[Aby zobaczyć linki, zarejestruj się tutaj]

Hmm w Fedorze 15 zadebiutował GNOME 3 (3.0), natomiast szesnastka ma GNOME 3.2

Nie wydaje mi się żeby od Gnome 3.0 do 3.2 nastąpiła jakaś rewolucja, ale niestety tutaj ten drobny szczegół nie został uwzględniony.

Cytat:
Unfortunately F16-based template would require too much work to get all the Gnome 3 stuff working correctly.

Coś się ruszyło. W drugiej połowie marca 2013 otrzymaliśmy

[Aby zobaczyć linki, zarejestruj się tutaj]

o tym, czym Qubes jest, a czym nie. Ponad miesiąc temu pojawiły się kolejne, bardziej optymistyczne

[Aby zobaczyć linki, zarejestruj się tutaj]

- Została wydana wersja Aplha R3, która... nawet w większości działa

Autorka wpisu pochwaliła się nawet screenem:

[Aby zobaczyć linki, zarejestruj się tutaj]

Gratuluję zaparcia przy tak mało popularnym projekcie...

Cytat:About 5 months after the initial release of Qubes 3.0-rc1, we're now releasing the final 3.0 today!

Let me quickly recap the main "killer features" of Qubes OS 3.0 compared to the Release 2:

- Qubes is now based on what we call Hypervisor Abstraction Layer (HAL), which decouples Qubes logic from the underlying hypervisor. This will allow us to easily switch the underlying hypervisors in the near future, perhaps even during the installation time, depending on the user needs (think tradeoffs between hardware compatibility and performance vs. security properties desired, such as e.g. reduction of covert channels between VMs, which might be of importance to some users). More philosophically-wise, this is a nice manifestation of how Qubes OS is really "not yet another virtualization system", but rather: a user of a virtualization system (such as Xen).

- We upgraded from Xen 4.1 to Xen 4.4 (now that was really easy thanks to HAL), which allowed for: 1) better hardware compatibility (e.g. UEFI coming soon in 3.1), 2) better performance (e.g. via Xen's libvchan that replaced our vchan). Also, new Qubes qrexec framework that has optimized performance for inter-VM services.

- We introduced officially supported Debian templates.

- And finally: we integrated Whonix templates, which optimize Tor workflows for Qubes.

[Aby zobaczyć linki, zarejestruj się tutaj]

Ważny to moment - czy się mylę?