Qubes 4.0 mit neuem Kernel und Admin-API

Das Qubes-Entwicklerteam um Joanna Rutkowska hat nach etwa zweijähriger Arbeit eine neue Version seines sicherheitsorientierten Desktop-Betriebssystems veröffentlicht. Qubes OS 4.0 setzt wie die Vorgängerversionen auf den Hypervisor Xen und virtuelle Maschinen für verschiedene Anwendungszwecke, die sich einen gemeinsamen Desktop teilen, in verschieden farbigen Fenstern laufen und leicht miteinander kommunizieren können.

Mirko Lindner

Qubes OS 4.0 basiert auf einem Kernel 4.9. Die zentrale Dom0-Domain wurde wegen der besseren Hardware-Unterstützung auf Fedora 25 aktualisiert. Eine Neuerung ist die Qubes Admin API. Diese basiert auf qrexec und kann genutzt werden, um Pakete sicher zu installieren, Backups zurückzuspielen, Administrationsrichtlinien vorzugeben und die Macht einzelner Administratoren einzuschränken. Der Qubes Core Stack ist in Version 3 enthalten. Die meisten VMs in Qubes 4.0 sind Hardware Virtual Machines (HVM) um auf die zum Jahresanfang bekannt gewordenen Sicherheitslücken Meltdown und Spectre zu reagieren. Paravirtualisierte VMs (PVM) werden nur noch für Stub-Domains genutzt, die mit PCI-Geräten arbeiten. In der Standardkonfiguration sind es sys-net und sys-usb.

Die Entwickler führten in Qubes 4.0 multiple, flexible Einweg-VM-Templates und nutzerfreundliche Qubes RPC-Systemrichtlinien ein. Ein neuer VM Volume-Manager vereinfacht es, VMs auf externe Speichermedien auszulagern. Qubes 4.0 erlaubt nur noch verschlüsselte Backups und unterstützt via »split packages« minimale, spezialisierte Templates. In der neuen Qubes-Version wird standardmäßig eine USB-VM angelegt und es wurden sämtliche qvm-* -Kommandozeilenwerkeuge und zentrale Verwaltungsskripte neu implementiert. Weitere Neuerungen lassen sich in den Veröffentlichungsnotizen nachlesen.

Qubes 4.0 erfordert mindestens einen 64-Bit Intel- oder AMD-Prozessor mit Intel VT-x und EPT oder AMD-V und RVI sowie Intel VT-d bzw. AMD-Vi. Ferner sind mindestens 4 GB RAM und 32 GB Festplattenspeicher nötig. Das aktuelle ISO-Abbild ist auf der Download-Seite des Projekts verfügbar.