Login
Newsletter
Werbung

Fr, 11. März 2016, 10:31

Software::Distributionen

Qubes OS 3.1 mit vereinfachter Systemverwaltung

Qubes OS isoliert mit Hilfe von Xen das stark abgesicherte Grundsystem von den Anwendungen, die in virtuellen Maschinen laufen. Die jetzt freigegebene Version 3.1 des sicherheitsoptimierten Betriebssystems führt eine Verwaltungs-Infrastruktur ein, mit der die virtuellen Maschinen leichter einzurichten sind.

Anlegen von VMs in Qubes OS 3.1

Joanna Rutkowska

Anlegen von VMs in Qubes OS 3.1

Qubes OS ist ein revolutionäres Konzept, das das Ziel hat, die Sicherheit von Desktop-Systemen zu erhöhen, ohne die Benutzbarkeit wesentlich einzuschränken. Dazu benutzt das System den Hypervisor Xen, um virtuelle Maschinen voneinander zu isolieren. Die privilegierte virtuelle Maschine (VM) Dom0, die die Desktopumgebung ausführt und alle anderen VMs steuert, hat beispielsweise keine Netzwerkverbindung und ist daher fast unangreifbar.

Sicherheitskritische Treiber-Stacks, vor allem das Netzwerk und USB, laufen in isolierten VMs (bei USB ist das standardmäßig nicht aktiviert). Anwendungen werden in AppVMs installiert, die je nach Einsatzzweck über eine Netzwerkverbindung verfügen können oder auch nicht. Die VMs können verschiedenen Sicherheitsstufen zugeordnet werden, und ihre Anwendungen werden auf dem Desktop entsprechend in verschiedenen Farben markiert. Zur Kommunikation der Anwendungen über die Grenzen der VMs hinweg existieren verschiedene Werkzeuge, die immer eine manuelle Interaktion erfordern. Dadurch sind automatisierte Angriffe sowie eine Kompromittierung des Systems über eine AppVM hinaus stark erschwert. Zudem ist es einfach, neue AppVMs zu starten, die man nach Gebrauch wieder komplett löschen kann.

Qubes stellt keine Linux-Distribution dar, sondern eher eine Xen-Distribution. In verschiedenen VMs können darunter durchaus verschiedene Betriebssysteme laufen, Standard ist Fedora. Die Betriebssysteme der VMs werden anhand von Templates erzeugt. Seit Qubes OS 3.0 stehen neben einer normalen und einer Minimalversion von Fedora 21 auch solche für Debian 7 und 8 bereit. Whonix kann eingesetzt werden, um optimal im Anonymisierungsnetz Tor zu partizipieren. Weitere Templates wurden für Ubuntu und Archlinux geschaffen.

Qubes OS 3.1 führt eine Verwaltungs-Infrastruktur ein, die mit Salt realisiert wurde. Salt, ein System zur netzwerkweiten automatisierten Konfiguration ähnlich wie Ansible, Puppet oder Chef, wurde gewählt, weil es auch ohne Netzwerkverbindung laufen kann, weit verbreitet ist, gut lesbare Konfigurationsanweisungen aufweist und vielfältig erweiterbar ist. Salt steht unter der Apache-Lizenz 2.0.

Mit Salt lässt sich die Konfiguration nicht nur automatisieren, sondern auch jederzeit reproduzieren. Zunächst kann Salt in Qubes OS aber nur auf Dom0 und die systemweite Konfiguration angewandt werden. Ferner ermöglicht es die Konfiguration von Whonix-VMs und der separaten VM für USB-Geräte. Noch nicht verwaltet wird das, was in den einzelnen VMs läuft. In Qubes OS 4.0, von dem bald ein Veröffentlichungskandidat ansteht, wird auch das möglich sein. Da das Team nicht die Sicherheit von Qubes OS aufweichen will, benötigt diese Integration einige Zeit.

Weitere Neuerungen in Qubes OS 3.1 sind unter anderem UEFI-Unterstützung, eine Aktualisierung von Xen auf 4.6, aktualisierter Kernel 4.1, erneuerte X11-Treiber mit erweiterter Hardware-Unterstützung, paravirtualisiertes Grub2 zur vereinfachten Kernel-Installation in VMs und aktualisierte Templates mit Fedora 23.

Auf der Homepage von Qubes OS finden sich zahlreiche Informationen zu Qubes OS, darunter eine Einführung, Vortragsunterlagen eines Tutorials, ein Architekturüberblick, ein FAQ und umfangreiche Dokumentation für Anwender. Auch Entwickler finden hier alles Nötige, von Dokumentation über Mailinglisten und das Ticket-System bis zum Quellcode.

Werbung
Pro-Linux
Pro-Linux @Facebook
Neue Nachrichten
Werbung