Qubes OSは、Xenハイパーバイザー、X Window System、Linuxカーネルのオープンソース技術をベースに構築されたオープンソースのLinuxディストリビューションです。これはFedora Linuxに基づいており、ユーザーにデスクトップコンピューティングのための強力なセキュリティを提供するために設計されています。
このディストリビューションは、ほぼすべてのLinuxアプリケーションを実行するように設計されており、Linuxカーネルに実装されているすべてのドライバを使用して、ほとんどのハードウェアコンポーネント(新旧)を自動的に検出して設定します。
機能の概要
主な機能には、Xenプロジェクトによる安全なベアメタルハイパーバイザ、セキュアなシステムブート、WindowsベースおよびLinuxベースのAppVM(アプリケーション仮想マシン)のサポート、およびベースとなるすべてのAppVMの集中アップデートが含まれます。同じテンプレートです。
複数のコアコンポーネントをサンドボックス化し、特定のアプリケーションを互いに分離するために、Qubes OSは仮想化技術を使用します。したがって、システムの残りの部分の完全性は損なわれません。
ライブDVDとして配信
1つのLive DVD ISOイメージとして配布され、64ビット(x86_64)ハードウェアプラットフォームのみをサポートし、USBフラッシュドライブまたは4GB以上に展開でき、DVDディスクに書き込むこともできます。ブートメニューから、ユーザーはオペレーティングシステムを試したりインストールしたりすることができます。
インストールプロセスはテキストベースで、タイムゾーンの設定、インストールソースの選択、インストールするソフトウェアパッケージの選択、インストール先の選択、ルートパスワードの設定、ユーザーの作成が可能です。
KDE  Plasmaデスクトップ環境を使用します。
デフォルトのデスクトップ環境は、KDE Plasma Workspaces and Applicationsプロジェクトによって強化されています。このプロジェクトは、画面の上部にある単一のタスクバーから構成されています。そこから、ユーザーはメインメニューにアクセスし、アプリケーションを起動し、 。
結論
結論として、Qubes OSは、「分離によるセキュリティ」アプローチを実装し、ユーザーが定義できるAppVMという軽量の仮想マシンを使用する、独自のFedoraベースのオペレーティングシステムです。
このリリースでは新しい:
コア管理スクリプトは、構造と拡張性の向上、APIドキュメントの書き換え
非dom0から厳密に制御された管理を可能にする管理API
すべてのqvm- *コマンドラインツールが書き直され、いくつかのオプションが変更されました
VMの名前を直接変更することは禁止されています。新しい名前でクローンを作成し、古いVMを削除するGUIがあります
デフォルトではHVMを使用して、Xenの攻撃対象を減らします
既定でUSB VMを作成する
複数の使い捨てVMテンプレートサポート
scrypt key-derivation関数を使用した新しいバックアップ形式
暗号化されていないバックアップはサポートされなくなりました
より良いサポートのために、分割されたVMパッケージ
Qubes Managerの分解 - 完全なQubes Managerではなくドメインとデバイスのウィジェット。デバイスのウィジェットをサポートするUSB
ユニークな統合を容易にする、より柔軟なファイアウォールインターフェイス
テンプレートVMにはデフォルトでネットワークインターフェイスがありません。代わりにqrexecベースの更新プロキシが使用されます
VMのためのより柔軟なIPアドレッシング - IPから隠されたカスタムIP
より柔軟なQubes RPCポリシー関連のチケット、ドキュメント
新しいQubes RPC確認ウィンドウ(宛先VMを指定するオプションを含む)
より良いハードウェアサポートのためにDom0をFedora 25にアップデート
カーネル4.9.x
バージョン3.2 / 4.0 RC2の新機能:
sys-netとsys-usbがデフォルトでHVMモードで動作するPCIパススルーを改善しました。今回の変更により、セキュリティを強化するため、デフォルトですべてのクワッドをHVMモードで実行するというQubes 4.0の目標を正式に達成しました。
Whonixのテンプレートが戻ってきた!さまざまなブロッキングの問題を修正し、Whonixテンプレートはデフォルトのインストーラで再び利用できます。私たちは新しいWhonixベースのDispVMをデビューしています!
バージョン3.2 / 4.0 RC1の新機能:
今回のリリースで改善した主な機能の1つは、Qubes 3.1で導入された統合管理インフラストラクチャです。 VM全体を管理することが可能になる以前は、VMの内部管理も可能になりました。
私たちが直面した主な課題は、(複雑な)管理コードに大きな攻撃面を開くことなく、潜在的に信頼できないVMと管理エンジンソフトウェア(Saltを使用する)とそのような緊密な統合を可能にする方法でした。 Qubes 3.2で実装したこの問題に対する洗練された解決策が見つかったと思います。
この管理機能は、インストール中の基本的なシステム設定、自動テストの準備、およびさまざまなカスタム設定の適用に使用されます。将来的には、簡単なGUIアプリケーションを使用して、ユーザーがさまざまなものを設定するためにすぐに使用できるソルトレシピをダウンロードできるようにします。
Qubes Split GPGを搭載したThunderbirdなど、Qubesの区画化を活用するように最適化された事前設定済みのアプリ
特定のユースケースに対するUIおよびシステム全体のカスタマイズ
企業のリモート管理と統合
これらの機能は、今後のQubes 4.xリリースで予定されています。
Qubesは最初(2010年)からUSBデバイスのサンドボックス化をサポートしてきましたが、常に同じUSBコントローラに接続されたすべてのUSBデバイスを同じVMに割り当てる必要がありました。この制限は、基本的なハードウェアアーキテクチャ(具体的には、PCIeおよびVT-dテクノロジ)によるものです。
ソフトウェアのバックエンドを使用してこの制限を回避することができます。しかし、これに対して支払う価格はバックエンドでの攻撃の増加であり、異なるセキュリティコンテキストの複数のUSBデバイスが1つのコントローラに接続されている場合に重要です。悲しいことに、ラップトップでは、これはほとんど常にそうです。潜在的なセキュリティ上の問題は、USB仮想化が、潜在的に悪意のあるUSBデバイスが接続されているVMを攻撃するのを防ぐことではないということです。これらの問題は、Qubes OSに固有の問題ではありません。実際、それらは従来のモノリシックなオペレーティングシステムにとってさらに大きな脅威となっています。 Qubesの場合、すべてのUSBデバイスをユーザーのAppVMから隔離することは、少なくとも可能でした。新しいUSBパススルー機能により、ユーザーはUSBデバイスの管理をより細かく制御できます。それにもかかわらず、ユーザが「自動」なものがないことを認識することは非常に重要である。悪質なUSB問題へのソリューションユーザーは、これを念頭において区画化を計画する必要があります。
Qubesは特定のクラスのUSBデバイス、特に大容量記憶デバイス(フラッシュドライブや外付けハードドライブなど)、さらに最近ではUSBマウスのセキュアな仮想化を長期にわたってサポートしてきたことにも言及する必要があります。一般的なUSBパススルーではなく、セキュリティで保護されたこれらの特別なプロトコルを使用できる場合は、常に使用することをお勧めします。
目に見えて、dom0のデフォルトのデスクトップ環境としてKDEからXfce4に切り替えました。スイッチの理由は、ここで説明するように、安定性、パフォーマンス、および美学です。新しいデフォルトのデスクトップ環境がすべてのユーザーにとってより良いエクスペリエンスを提供することを願っていますが、Qubes 3.2はKDE、素晴らしい、そしてi3ウィンドウマネージャもサポートしています。
バージョン3.2の新機能:
今回のリリースで改善した主な機能の1つは、Qubes 3.1で導入された統合管理インフラストラクチャです。 VM全体を管理することが可能になる以前は、VMの内部管理も可能になりました。
私たちが直面した主な課題は、(複雑な)管理コードに大きな攻撃面を開くことなく、潜在的に信頼できないVMと管理エンジンソフトウェア(Saltを使用する)とそのような緊密な統合を可能にする方法でした。 Qubes 3.2で実装したこの問題に対する洗練された解決策が見つかったと思います。
この管理機能は、インストール中の基本的なシステム設定、自動テストの準備、およびさまざまなカスタム設定の適用に使用されます。将来的には、簡単なGUIアプリケーションを使用して、ユーザーがさまざまなものを設定するためにすぐに使用できるソルトレシピをダウンロードできるようにします。
Qubes Split GPGを搭載したThunderbirdなど、Qubesの区画化を活用するように最適化された事前設定済みのアプリ
特定のユースケースに対するUIおよびシステム全体のカスタマイズ
企業のリモート管理と統合
これらの機能は、今後のQubes 4.xリリースで予定されています。
Qubesは最初(2010年)からUSBデバイスのサンドボックス化をサポートしてきましたが、常に同じUSBコントローラに接続されたすべてのUSBデバイスを同じVMに割り当てる必要がありました。この制限は、基本的なハードウェアアーキテクチャ(具体的には、PCIeおよびVT-dテクノロジ)によるものです。
ソフトウェアのバックエンドを使用してこの制限を回避することができます。しかし、これに対して支払う価格はバックエンドでの攻撃の増加であり、異なるセキュリティコンテキストの複数のUSBデバイスが1つのコントローラに接続されている場合に重要です。悲しいことに、ラップトップでは、これはほとんど常にそうです。潜在的なセキュリティ上の問題は、USB仮想化が、潜在的に悪意のあるUSBデバイスが接続されているVMを攻撃するのを防ぐことではないということです。これらの問題は、Qubes OSに固有の問題ではありません。実際、それらは従来のモノリシックなオペレーティングシステムにとってさらに大きな脅威となっています。 Qubesの場合、すべてのUSBデバイスをユーザーのAppVMから隔離することは、少なくとも可能でした。新しいUSBパススルー機能により、ユーザーはUSBデバイスの管理をより細かく制御できます。それにもかかわらず、ユーザが「自動」なものがないことを認識することは非常に重要である。悪質なUSB問題へのソリューションユーザーは、これを念頭において区画化を計画する必要があります。
Qubesは特定のクラスのUSBデバイス、特に大容量記憶デバイス(フラッシュドライブや外付けハードドライブなど)、さらに最近ではUSBマウスのセキュアな仮想化を長期にわたってサポートしてきたことにも言及する必要があります。一般的なUSBパススルーではなく、セキュリティで保護されたこれらの特別なプロトコルを使用できる場合は、常に使用することをお勧めします。
目に見えて、dom0のデフォルトのデスクトップ環境としてKDEからXfce4に切り替えました。スイッチの理由は、ここで説明するように、安定性、パフォーマンス、および美学です。新しいデフォルトのデスクトップ環境がすべてのユーザーにとってより良いエクスペリエンスを提供することを願っていますが、Qubes 3.2はKDE、素晴らしい、そしてi3ウィンドウマネージャもサポートしています。
バージョン3.1の新機能:
dom0のSalt Stackに基づく管理スタック - ドキュメンテーション
箱からWhonixセットアップ
UEFIのサポート
LIVE版(まだアルファ、R3.1-rc1の一部ではない)
dom0の更新されたGPUドライバ
カラフルなウィンドウのアプリケーションアイコン(単にカラフルなロックアイコンの代わりに)
PVグラブサポート(ドキュメンテーション)
USBマウスの取り扱いを含むUSB VMのセットアップ
より良いハードウェアサポート(特にSkylakeプラットフォーム)のために、Xenを4.6にアップグレードしました。
アップデートプロキシの柔軟性、特にHTTPS経由で提供されるリポジトリの改善
バージョン3.0の新機能:
Qubesは現在、Hypervisor抽象化レイヤ(HAL)と呼ばれるものに基づいています。これは、Qubesロジックを基盤となるハイパーバイザから切り離します。これにより、近い将来に、ユーザーのニーズに応じて、インストール時にも潜在的なハイパーバイザーを簡単に切り替えることができます(ハードウェアの互換性とパフォーマンスの間のトレードオフ、たとえばVM間の隠れチャネルの削減これは一部のユーザーにとって重要なことかもしれません)。より哲学的に言えば、これはQubes OSが本当に「もう一つの仮想化システムではない」という素晴らしい表現ではなく、仮想化システム(Xenなど)のユーザーです。
Xen 4.1からXen 4.4にアップグレードしました(HALのおかげで本当に簡単でした)。これにより、ハードウェアの互換性が向上しました(たとえば、UEFIはすぐに3.1になります)、2) )。また、VM間サービスのパフォーマンスを最適化した新しいQubes qrexecフレームワーク。
公式にサポートされているDebianテンプレートを紹介しました。
最後に、QubesのTorワークフローを最適化するWhonixテンプレートを統合しました
バージョン2.0 / 3.0 RC1の新機能:
新しいハイパーバイザ抽象アーキテクチャ(HALと呼ぶ)を実装し、Xen 4.4、新しいqrexecの新機能を追加し、完全なQubes統合を備えた新しいVMテンプレートを多数提供します:Debian 7と8、 Whonix 9、およびもっと多く。
また、ビルドシステムに重要な変更や改良を加えています。
バージョン2.0の新機能:
数ヶ月前にQubes rc1をリリースした後、私たちは信頼できないVMのスタートアップに関連した多くの問題にぶつかってきました。最も一般的な問題は、起動スクリプトによって課せられた特定の条件のために、Qubes OSで現われたばかりのsystemdの上流のバグにまで及んでいます。
実際、Qubesでは、VMのブートアップや初期化に関連するものがうまく動作しないのは初めてではありません。VMをできるだけ軽量化するためには、大幅な最適化とストリッピングの副作用があります。例えば。私たちは、いろいろなデスクトップ関連アプリケーションやサービスによって実行されていると思われるほとんどのデスクトップ環境を開始しません。ほとんどの場合、これらは実際にNOTOURBUGの種類の問題ですが、私たちはただただ不運になり、Qubesに現れます。アップストリームでのNOTOURBUGの問題のテスト、デバッグ、パッチ適用など、コミュニティからのさらなる支援が必要です。より多くの人々がQubes OSを使用するほど、そのような問題がより早く対処される可能性が高くなります。理想的には、今後、Qubes AppVMをテストケースの1つとして含むLinuxディストリビューションと提携することができます。
また、" Templates Appstore"あなたは今、実験的な "最小限の" fedoraベースのテンプレートです。これは、高度なユーザーがカスタマイズされた専用のVMとテンプレートを構築するために使用される可能性があります。また、Wikiサーバーをより大きなEC2インスタンスに移行し、トラフィックの増加を抑え、実際のCA署名SSL証明書を追加しました。しかし、私は人々に、これが主にセキュリティの観点から無関係で、なぜISOの署名をチェックする必要があるのかを読まれるよう勧めます。
私たちはまた、新しいロゴを手に入れました(実際には私たちは以前は自分のロゴを持っていませんでした)。これはまた、Qubesがインストーラ、プリマス、そしてもちろんQubesのロゴがうまく刻まれたクールな壁紙のテーマのための独自のテーマセットを持っていることを意味します。しかし、KDEが壁紙をデフォルトのものに設定することはITLの総合的な精神的能力を超えていることが判明したので、デスクトップを右クリックして、インストールまたはアップグレード後にQubesブランドの壁紙を手動で選択する必要があります。
たまには、ユーザーがリモートでセキュリティを気にしているときでも、モノリシックなカーネルベースのデスクトップオペレーティングシステムが最善のソリューションではないことが、たびに発見されています。はい、ほとんどのデスクトップシステムで使用されているように、USBの固有の不安、広範なGUIの不安定化、ネットワークのスタックの不安定さ、軽い物理的な不安定さ、病気のアクセス許可モデルなどはすべて何年もの間知られていました。これらの問題の認識は、2009/2010年にQubes OSの作業を開始するための主な動機となっています。
そして、適切なハードウェア(具体的にはIntel VT-d)で動作するQubesは、これらの問題のほとんどを解決できます。修正:Qubes OSは、ユーザーまたは管理者がこれらの問題を解決できるようにすることができます。残念なことに、これには依然として人間のオペレータによる構成の決定が必要です。ですから、今日のQubes R2はスポーツマニュアルトランスミッションのようなものですが、それを最大限に活用するには少しのスキルが必要です。近い将来、「自動8速変速機」を提供してはならない理由はない。 Qubes OSのエディション。そこに着くのにもっと時間が必要です。 「最終」コードの直後に早期コードがリリースされる予定のR3リリース(Odysseyベース)は、 R2は9月にいつか、私たちをその "自動変速機"に近づけようとしている。バージョン。
システムレベルのセキュリティ研究者としての私の10年以上の経験で、他の方法はないと私は信じています。安全な言語や正式に確認されたマイクロカーネルがこれらの問題を解決する可能性があることに惑わされないでください。賢明に行われた分離によるセキュリティは、唯一の方法です(もちろん、少なくともQubesのいくつかのエディションでは、Xenの代わりにマイクロカーネルなどの形式的に検証されたコンポーネントを使用することを排除するものではありません)。
バージョン2 RC1の新機能:
Dom0とVMの両方がFedora 20にアップグレードされました。
template-itlとtemplates-communityの2つの新しいリポジトリ定義による完全なテンプレートのダウンロードをサポートしています。少しの想像力で、Qubes" AppStore"と呼ぶことができます。現在のところ、新しいデフォルトのfc20ベースのテンプレートが1つしか公開されていませんが、コミュニティ作成のArch LinuxテンプレートやDebianテンプレートなど、今後数週間でさらにテンプレートをアップロードする予定です。私たちはコミュニティ寄稿テンプレートのための独立したレポを持っていますが、私たちは依然として(寄付された)ソースからそれらのテンプレートを独自に構築することを計画しています。
"フルデスクトップ"でWindows AppVMを実行するためのサポートモードで、任意のウィンドウのサイズ変更(VMの解像度を自動的に調整)をサポートします。
「フルデスクトップ」モードと「フルデスクトップ」モードとの間のオンザフライスイッチングのサポート。 「シームレス」および「シームレス」は、 Windows AppVMのためのモード。
バージョン2 Beta 3の新機能:
Windows 7ベースのAppVMのシームレスなGUI仮想化、およびHVMベースのテンプレート(Windowsベースのテンプレートなど)のサポートは、今回のリリースで最も魅力的な機能の1つです。それは以前のブログ記事ですでに議論されていますが、このようなWindows AppVMをインストールして使用する方法については、wikiにも説明が追加されています。
また、システムバックアップのためのより高度なインフラストラクチャを導入しました。信頼できるVMとの間でバックアップを作成および復元することが可能になりました。誰かがNASクライアントをネットワーク上で悪用する心配がない、または不正な形式のパーティションテーブルやファイルシステムでUSBディスクを接続すると、システムが危険にさらされる可能性があるため、システム全体をNASやUSBデバイスに簡単にバックアップできます。ここでのポイントは、バックアップストレージを扱うVM(NASに、またはどこかに向けるかもしれない)が危険にさらされている可能性があり、システムを妥協する(またはDoSする)ことができない、それはバックアップのデータを盗聴します。私は、解決しなければならなかった課題と、それをどのようにして別のブログ記事にしたかについて、より詳しく記述します。私は、この実装の大部分がコミュニティ、特にOliver Medocによって貢献されていることに非常に誇りを持っています。ありがとう!ほぼ単純ですが、セキュリティ上の観点からは非常に重要な、非常にシンプルな機能です。選択されたVMで 'autostart'プロパティを設定できるようになりました。これはなぜセキュリティのために重要なのですか?私は私のUSBコントローラをそれに割り当ててから、自動起動として設定すると、すべてのUSBコントローラが各システム起動時に直ちにそのようなAppVMに委譲されるという保証ができます。そのようなUsbVMを持つことは、USBデバイスから物理的な攻撃が来るのを恐れているなら、非常に良い考えです。そして今、上記の新しいバックアップシステムを備えたBackupVMとして倍増できます!ハードウェアの互換性を向上させるために、インストーラを複数のカーネルバージョン(3.7、3.9、3.11)で出荷しています。あるカーネルがグラフィックスカードを正しくサポートしていないことが判明した場合、これは過去の多くのユーザーが直面した典型的な問題です。すべてのカーネルは最終システムにもインストールされているので、後で選択したDom0カーネルで簡単にハードウェアをサポートするハードウェアを選択して起動することができます。
過去のもうひとつの一般的な問題は、seccondモニタまたはプロジェクタがホットプラグインされたとき(Dom0の解像度レイアウトのみが変更されたとき)、AppVMの解像度/画面レイアウトを動的に変更するサポートが不足していたことです。この問題は解決され、新しいモニタレイアウトはAppVMに動的に伝播され、そこで実行されているアプリによってすべての画面の不動産を使用することができます。
また、かなりの量のクリーンアップと修正が行われています。これには、パスとコマンド名( "Underscore Revolution"と呼ぶ)の統合と、すべてのソースコードコンポーネントのリファクタリング(Qubes Odyssey / R3のものと非常によく似ている)、さまざまなバグ修正。
Dom0ディストリビューションを最新のFedora 18にアップグレードしました(以前のすべてのリリースではFedora 13 for Dom0!が使用されていました!)
バージョン2 Beta 2の新機能:
デフォルトのVMテンプレートもFedora 18にアップグレード
Dom0カーネルを3.7.6にアップグレード
Dom0(KDE 4.9)でのKDE環境のアップグレード
KDEの代わりにDom0用のXfce 4.10環境を導入
最近発表されたDisposable VMベースのPDFコンバータを含む、その他のいくつかの修正と改善
バージョン2 Beta 1の新機能:
完全仮想化された汎用VMのサポート(TCBではqemuなし)
WindowsベースのAppVM統合のサポート(クリップボード、ファイル交換、qrexec、pvドライバ)
AppVM(Hello Skypeユーザー!)を選択するための安全なオーディオ入力
クリップボードは中央のポリシーによって制御され、他のqrexecポリシーと統合されました。
すぐに使えるTorVMのサポート[http://wiki.qubes-os.org/trac/wiki/HvmCreate]
PVUSBの実験的サポート
Dom0のXorgパッケージを更新して新しいGPUをサポート
DisposoableVMカスタマイズサポート
...そして、いつものように、さまざまな修正やその他の改善
ベータ版1の新機能:
インストーラ(ついに!)、
改良されたテンプレート共有メカニズム:サービスVMは共通のテンプレートに基づくことができ、多くのネットVMとプロキシVMを簡単に作成できます。テンプレートのアップグレードですべてのVMをシャットダウンする必要はありません。
スタンドアロンVMは、開発に便利で、最も信頼性の低いソフトウェアをインストールするだけでなく、
組み込み、使いやすいファイアウォールVM、
仮想トレイアイコンのシームレスな統合(スクリーンショットをチェック!)
ドメイン間の再設計されたファイルコピー(簡単、安全)
Fedora 14(x64)ベースのデフォルトテンプレート
合理的に完全なユーザーガイド。
コメントが見つかりません