Журнал LinuxFormat - перейти на главную

LXF164: Qubes

Материал из Linuxformat
Перейти к: навигация, поиск
Подписка на печатную версию
Весь 2015 год (12 номеров)
Первое полугодие (6 номеров)
Второе полугодие (6 номеров)
Подписка на электронную версию
Весь 2015 год (12 номеров)
Первое полугодие (6 номеров)
Второе полугодие (6 номеров)
Подшивки старых номеров журнала (печатные версии)
Весь 2014 год (12 номеров)
Первое полугодие (6 номеров)
Второе полугодие (6 номеров)


Обзоры Ди­ст­ри­бу­тив

Qubes 1

Но­вый ди­ст­ри­бу­тив обе­ща­ет непро­би­вае­мую за­щи­ту, раз­де­лив ва­шу сис­те­му на неза­ви­си­мые до­ме­ны. Бен Эве­рард на­во­дит справ­ки.

Qubes – это но­вый ди­ст­ри­бу­тив с упо­ром на безо­пас­ность ра­бо­че­го ок­ру­жения. Тра­ди­ци­он­но, для это­го в Linux ис­поль­зо­ва­лись скром­ные, хо­ро­шо ис­пы­тан­ные при­ло­жения, уста­нав­ли­вае­мые по­верх сис­те­мы и же­ст­ко кон­тро­ли­руе­мые поль­зо­ва­те­лем. Qubes реа­ли­зу­ет со­вер­шен­но иной под­ход. Он раз­де­ля­ет ва­шу сис­те­му на несколь­ко до­ме­нов (бо­лее из­вест­ных как вир­ту­аль­ные ма­ши­ны, ВМ). По­сколь­ку все они прак­ти­че­­ски изо­ли­ро­ва­ны друг от дру­га, втор­жение в од­ну (ви­ру­са, троя­на или ха­ке­ра) не по­влия­ет на осталь­ные. По су­ти, ата­кую­щий да­же не уз­на­ет об их су­ще­ст­во­вании.

Спуско­вым ме­ханиз­мом раз­ра­бот­ки по­слу­жи­ла недав­но об­на­ру­жен­ная уяз­ви­мость Java. Си­туа­ция за­де­ла мно­гих си­сад­ми­нов: за­ме­че­но уда­лен­ное вы­полнение ко­да в важней­шем при­ло­жении, а по­став­щик не то­ро­пит­ся это ис­прав­лять. Для нынешних мно­го­поль­зо­ва­тель­ских, мно­го­за­дач­ных ОС это на­пря­мую ве­дет к то­му, что вы­полнив этот код, зло­умыш­ленник по­лу­чит кон­троль над ма­ши­ной. По­это­му с уяз­ви­мо­стью Java ока­за­лось непро­сто спра­вить­ся.

Ча­ст­ная тер­ри­то­рия

Под­ход Qubes по­мог бы смяг­чить уг­ро­зу. Будь это от­дель­ный до­мен, уяз­ви­мое при­ло­жение Java мож­но бы­ло бы про­сто от­со­единить от осталь­ной сис­те­мы, а зна­чит, оста­но­вить ата­ку. Конеч­но, мо­гут по­стра­дать дан­ные или при­ло­жения, на­хо­дя­щие­ся в том же до­мене, и здесь важ­но пра­виль­но на­стро­ить сис­те­му. Qubes – это лишь осно­ва для фор­ми­ро­вания до­ме­нов, а не опе­ра­ци­он­ная сис­те­ма внут­ри них. Это про­сто вир­ту­аль­ные ма­ши­ны, уст­ро­ен­ные так же, как ВМ в VirtualBox или Qemu. А в ка­че­­ст­ве ОС по умол­чанию ис­поль­зу­ет­ся Fedora, и луч­шей за­щи­ты внут­ри ка­ж­до­го до­ме­на не получится.

Ес­ли вы вы­бе­ре­те стан­дарт­ную уста­нов­ку, у вас бу­дет 4 до­ме­на: Банк, Лич­ное, Не­про­ве­рен­ное и Ра­бо­та. Мо­же­те со­кра­тить или уве­ли­чить их чис­ло, в за­ви­си­мо­сти от сво­их по­треб­но­стей, вклю­чив до­полнитель­ные виртуальные машины для непред­ви­ден­ных си­туа­ций.

При за­пуске при­ло­жения оно по­яв­ля­ет­ся на ра­бо­чем сто­ле, как и в лю­бом дру­гом ди­ст­ри­бу­ти­ве. Един­ст­вен­ное от­ли­чие – цвет­ная рам­ка ок­на, ука­зы­ваю­щая, в ка­ком до­мене оно вы­пол­ня­ет­ся. Не­смот­ря на всю эту ма­гию безо­пас­но­сти, тво­ря­щую­ся за ка­дром, по ощу­щениям это вполне обыч­ный ра­бо­чий стол Linux. Два оче­вид­ных ис­клю­чения – функ­ции ко­пи­ро­вания и встав­ки, а так­же управ­ление фай­ла­ми.

Что­бы уста­но­вить при­ло­жения в до­ме­ны, необ­хо­ди­мы шаб­ло­ны ВМ. Та­ким об­ра­зом мож­но об­нов­лять ба­зо­вую сис­те­му. ис­поль­зуе­мую вир­ту­аль­ны­ми ма­ши­на­ми. Вы­бор K-ме­ню > При­ло­жения > Шаб­лон: Fedora-17-x64 > Fedora-17-x64: До­ба­вить/Уда­лить про­грам­мы за­пустит про­грамм­ный менед­жер PackageKit. Вы­полнив нуж­ное дей­ст­вие, необ­хо­ди­мо вый­ти из шаб­ло­на ВМ и из до­ме­на, что­бы его при­вя­зать. Мож­но сде­лать это пра­вым щелч­ком по со­от­вет­ст­вую­щей вклад­ке в Менед­же­ре до­ме­нов Qubes. По­сле его за­кры­тия вы мо­же­те за­пускать при­ло­жение из команд­ной стро­ки в со­от­вет­ст­вую­щем до­мене. Для неко­то­рых при­ло­жений мож­но уста­но­вить яр­лык че­рез K-ме­ню, вы­брав оп­цию До­ба­вить яр­лы­ки в под­ме­ню нуж­но­го до­ме­на, но, как вы­яснилось, это воз­мож­но не всегда. Ути­ли­ты для соз­дания про­грамм­но­го менед­же­ра яр­лы­ков здесь нет.

Так вы­гля­дит уста­нов­ка при­ло­жений, при­над­ле­жа­щих всем до­ме­нам, но бы­ва­ют слу­чаи, когда нуж­но ог­раничить­ся толь­ко оп­ре­де­лен­ны­ми вир­ту­аль­ны­ми ма­ши­на­ми. К при­ме­ру, вы хо­ти­те уста­но­вить тес­то­вую вер­сию ва­ше­го web-брау­зе­ра в один из до­ме­нов, со­хранив бо­лее ран­нюю и на­деж­ную в до­мене Банк. В этом слу­чае вам по­на­до­бит­ся соз­дать но­вый шаб­лон для до­бав­ления про­грамм. Не за­бы­вай­те, что чем боль­ше шаб­ло­нов вы соз­дае­те, тем боль­ше вам по­том при­дет­ся об­нов­лять. Как пра­ви­ло, бу­фер об­ме­на для ка­ж­до­го до­ме­на свой. Од­на­ко при же­лании мож­но пе­ре­мес­тить его со­дер­жи­мое в об­щий бу­фер, ис­поль­зуя Ctrl + Shift + c. А за­тем вста­вить в лю­бой до­мен при по­мо­щи Ctrl + Shift + v.

В ка­ж­дом до­мене своя фай­ло­вая сис­те­ма, и вы не мо­же­те пе­рей­ти из од­ной в дру­гую. К сча­стью, су­ще­ст­ву­ет скрипт, по­зво­ляю­щий ко­пи­ро­вать фай­лы ото­всю­ду. Хо­тя сто­ит пре­ду­пре­дить, что безо­пас­ность в этом слу­чае – на со­вес­ти поль­зо­ва­те­ля. Об­щее пра­ви­ло в том, что ко­пи­ро­вать следует из бо­лее на­деж­ных до­ме­нов в менее на­деж­ные. Для пе­ре­но­са фай­лов, от­крой­те фай­ло­вый менед­жер и прой­ди­те Файл > Скрип­ты > Ко­пи­ро­вать в дру­гой до­мен при­ло­жений [AppVM] (см. пер­вый ри­су­нок). Для успеш­но­го за­вер­шения нуж­но, что­бы оба до­ме­на бы­ли за­пу­ще­ны (мож­но восполь­зо­вать­ся Менед­же­ром до­ме­нов Qubes). Как толь­ко пе­ре­нос вы­полнен, фай­лы поя­вят­ся в ~/incoming/from-<domain>/.

До­ме­ны – не един­ст­вен­ный класс вир­ту­аль­ных ма­шин в со­ста­ве Qubes; имеются так­же дру­гие, вы­пол­няю­щие се­те­вые функ­ции. В це­лях безо­пас­но­сти, сис­тем­ная ОС (DomO) не име­ет вы­хо­да в Ин­тернет. Эту функ­цию вы­пол­ня­ет се­те­вой до­мен [NetVM], а за­тем пе­ре­да­ет ин­фор­ма­цию за­щит­но­му до­ме­ну [FirewallVM], ко­то­рый фильт­ру­ет ее, пре­ж­де чем она по­сту­пит в дру­гие до­ме­ны. По крайней ме­ре, та­ков стан­дарт­ный путь. Вир­ту­аль­ную сеть мож­но за­менить, уста­но­вив по от­дель­но­сти про­вод­ной или бес­про­вод­ной доступ, или же на­стро­ив неко­то­рым до­ме­нам вы­ход че­рез Tor. Хо­ро­ший пост од­но­го из раз­ра­бот­чи­ков, опи­сы­ваю­щий этот про­цесс, мож­но най­ти на http://theinvisiblethings.blogspot.be/

Как вы мо­же­те до­га­дать­ся, вир­туа­ли­за­ция ве­дет к по­те­рям про­из­во­ди­тель­но­сти. Мы проводили тес­ти­ро­ва­ние на ма­шине с дву­ядер­ным про­цес­со­ром, час­то­той 2,1 ГГц и 4 ГБ па­мя­ти, и она слег­ка при­тор­ма­жи­ва­ла. Пол­но­эк­ран­ное ви­део немно­го под­ра­ги­ва­ло – не ка­та­ст­ро­фич­но для сис­те­мы, но ли­шая ожи­дае­мо­го ощу­щения безу­преч­но­сти. По­жа­луй, это минималь­ный пре­дел воз­мож­но­стей обо­ру­до­вания, что­бы ис­поль­зо­вать Qubes.

Став­ка на бу­ду­щее

В Qubes вло­же­на уй­ма тру­да, го­раз­до боль­ше, чем во мно­гие дру­гие ди­ст­ри­бу­ти­вы, и это хо­ро­ший вклад в ста­биль­ность Linux. Глав­ные идеи, ле­жа­щие в осно­ве этой сис­те­мы – идеи безо­пас­но­сти – хо­ро­ши, и раз­ра­бот­кой занима­лась весь­ма ува­жае­мая ко­ман­да.

Од­на­ко на дан­ном эта­пе Qubes ра­но­ва­то внедрять в сфе­рах по­вы­шен­ной сек­рет­но­сти – он еще слиш­ком нов. Слиш­ком ма­ло лю­дей успе­ли его оп­ро­бо­вать и най­ти сла­бые сто­ро­ны. С дру­гой сто­ро­ны, ди­ст­ри­бу­ти­вы Linux об­ще­го на­зна­чения доста­точ­но на­деж­ны, и мно­гим по­ка­жет­ся, что эта безо­пас­ность не сто­ит пре­тер­пе­вае­мых неудобств. Воз­мож­но, в бу­ду­щем Qubes уп­ро­стит поль­зо­ва­те­лям освоение, и эта си­туа­ция из­менит­ся. Лю­бой из тех, кто ис­поль­зу­ет один и тот же ком­пь­ю­тер и для по­все­днев­но­го ис­поль­зо­вания, и для бо­лее кон­фи­ден­ци­аль­ных опе­ра­ций, мо­жет обой­тись уста­нов­кой от­дель­ных Linux-сис­тем на раз­ных за­шиф­ро­ван­ных дис­ках. Един­ст­вен­ное пре­иму­ще­ст­во Qube в этом слу­чае – воз­мож­ность ра­бо­тать па­рал­лель­но и в за­щи­щен­ной, и в от­кры­той сре­де.

В бу­ду­щем Qubes мо­жет так­же спо­соб­ст­во­вать ук­ре­п­лению кор­по­ра­тив­ной безо­пас­но­сти, по-прежнему по­зво­ляя со­трудникам ис­поль­зо­вать ком­пь­ю­тер в лич­ных це­лях. Хо­тя по­ка что про­цесс уста­нов­ки труд­но­ват да­же для ря­до­во­го поль­зо­ва­те­ля, не го­во­ря уж о служ­бах тех­под­держ­ки, ра­бо­таю­щих со всей ор­ганиза­ци­ей.

Так что по­ка Qubes мож­но оха­рак­те­ри­зо­вать как достой­ное во­пло­щение идеи, по­лез­ное неко­то­рым лю­дям в оп­ре­де­лен­ных си­туа­ци­ях, когда им при­хо­дит­ся за­пускать небезо­пас­ное при­ло­жение в безо­пас­ных ок­ру­жениях. Воз­мож­но, при­дет вре­мя, и эти прин­ци­пы бу­дут усвое­ны глав­ны­ми ди­ст­ри­бу­ти­ва­ми. На­при­мер, спе­ци­аль­ный брау­зер в вир­ту­аль­ной ма­шине, пред­на­зна­чен­ный толь­ко для вы­полнения бан­ков­ских опе­ра­ций, мо­жет ока­зать­ся весь­ма непло­хой и лег­ко реа­ли­зуе­мой за­дум­кой.

Ко­ро­че го­во­ря, мы в LXF по­ка что на Qubes не пе­рей­дем, но бу­дем при­сталь­но сле­дить за его раз­ви­ти­ем. |

Источник — «http://wiki.linuxformat.ru/wiki/index.php?title=LXF164:_Qubes&oldid=18922»
Персональные инструменты
купить
подписаться
Яндекс.Метрика