Login
Newsletter
Werbung
Di, 24. März 2020, 14:44

Software::Virtualisierung

Qubes 4.1 soll separate virtuelle Maschine für GUI bringen

Im Blog von Qubes haben die Entwickler eine Neuerung des kommenden Qubes 4.1 vorgestellt. Die grafische Oberfläche, die bisher in der privilegierten virtuellen Maschine Dom0 laufen musste, soll zur Erhöhung der Sicherheit ausgelagert werden.

GUI-Domain für Qubes 4.1

qubes-os.org

GUI-Domain für Qubes 4.1

Qubes OS ist ein revolutionäres Konzept, das das Ziel hat, die Sicherheit von Desktop-Systemen zu erhöhen, ohne die Benutzbarkeit wesentlich einzuschränken. Dazu benutzt das System den Hypervisor Xen, um virtuelle Maschinen voneinander zu isolieren. Die privilegierte virtuelle Maschine (VM) Dom0, die die Desktopumgebung ausführt und alle anderen VMs steuert, hat beispielsweise keine Netzwerkverbindung und ist daher kaum angreifbar.

Sicherheitskritische Treiber-Stacks, vor allem das Netzwerk und USB, laufen in isolierten VMs (bei USB ist das standardmäßig nicht aktiviert). Anwendungen werden in AppVMs installiert, die je nach Einsatzzweck über eine Netzwerkverbindung verfügen können oder auch nicht. Die VMs können verschiedenen Sicherheitsstufen zugeordnet werden, und ihre Anwendungen werden auf dem Desktop entsprechend in verschiedenen Farben markiert. Zur Kommunikation der Anwendungen über die Grenzen der VMs hinweg existieren verschiedene Werkzeuge, die immer eine manuelle Interaktion erfordern. Dadurch sind automatisierte Angriffe sowie eine Kompromittierung des Systems über eine AppVM hinaus stark erschwert. Zudem ist es einfach, neue AppVMs zu starten, die man nach Gebrauch wieder komplett löschen kann.

Zwei Jahre nach Qubes 4.0 zeichnet sich nun ab, dass Qubes 4.1 wohl bald fertiggestellt werden kann. Marek Marczykowski-Górecki und Marta Marczykowska-Górecka erläutern im Blog von Qubes eine der wichtigsten Änderungen der neuen Version. Die neue GUI-Domain ist eine neue virtuelle Maschine, die die GUI aus der privilegierten virtuellen Maschine Dom0 auslagert. Denn es wurde als Sicherheitsrisiko angesehen, dass der X-Server in Dom0 läuft.

Dass es die privilegierte VM Dom0 gibt, ist von der Architektur von Xen vorgegeben. Da sie die volle Kontrolle über das System ermöglicht, muss sie besonders geschützt werden. Auf der anderen Seite hat sie zur Zeit zuviele Funktionen, so dass eine Menge Code läuft, der potentiell Sicherheitslücken hat, darunter das gesamte Grafik-Subsystem bis zum Desktop. Die Probleme sind inzwischen sogar noch größer geworden, da Displays keine reinen Ausgabegeräte mehr sind, sondern Kommunikation in beide Richtungen ermöglichen.

Die neue GUI-Domain erlaubt neben der Trennung von GUI und administrativen Funktionen auch Kiosk-Modi und hat darüber hinaus weitere Vorteile. Die ideale Lösung wäre, dass die GUI-Domain die vollständige Kontrolle über die Grafik-Hardware übernimmt. Doch wie die Entwickler feststellen mussten, funktioniert das meistens nicht, aus verschiedenen Gründen, die mit dem BIOS oder der Hardware-Architektur zu tun haben. Was funktioniert, ist, dass das System gar keine reale Grafik-Hardware besitzt oder nutzt, und die GUI-Domain stattdessen auf einen VNC- oder RDP-Server zugreift. Diese Lösung ist aber auch nicht für jeden sinnvoll. Der Kompromiss besteht daher darin, den X-Server in Dom0 zu belassen, auf diesem aber nur eine einzige Anwendung laufen zu lassen, nämlich den virtuellen X-Server Xephyr im Vollbildmodus. Der Kompromiss bringt einige Nachteile mit sich, so ist die Energieverwaltung ebenso wie Systeme mit mehreren Monitoren noch nicht geklärt oder getestet. Dafür ist der Code, der in Dom0 laufen muss, sehr viel kleiner, insbesondere fallen alle Toolkits und der Window-Manager weg.

Es stellte sich heraus, dass Audio, das recht eng mit der GUI verzahnt ist, relativ problemlos auf die GUI-Domain umzuziehen war. Zwar ist die Angriffsfläche der Audio-Software geringer, aber es ist trotzdem von Vorteil, sie aus Dom0 herauszunehmen. In Zukunft soll es analog zur GUI-Domain eine eigene Audio-Domain geben, aber noch nicht in Qubes 4.1. Selbst die GUI-Domain wird in Qubes 4.1 nicht die Standardeinstellung sein, da sie noch als experimentell angesehen wird. Pläne für die fernere Zukunft sind unter anderem, die stark verkleinerte Dom0 vollständig im RAM laufen zu lassen. Dadurch würde das ganze Disk-Subsystem unabhängig von Dom0 und könnte in eine eigene VM ausgelagert werden, um die Privilegien weiter zu separieren. Durch die Entkopplung von VNC und anderen Remote-Desktop-Protokollen rücken zudem Server-basierte Lösungen, wie im Konzept von Qubes Air beschrieben, näher an eine mögliche Realisierung.

Werbung
Kommentare (Insgesamt: 10 || Alle anzeigen )
Re: Hardware für GUI-Domain (Yugga, Do, 26. März 2020)
Schau Dir mal dass an...geht schon https://www.youtube.com/watch?v=cYsVvV1aVss
Re[4]: Verständnisfrage (Yugga, Mi, 25. März 2020)
Re[4]: Verständnisfrage (Yugga, Mi, 25. März 2020)
Re: Verständnisfrage (Yugga, Mi, 25. März 2020)
Re[3]: Verständnisfrage (Knut von Walter, Mi, 25. März 2020)
Pro-Linux
Pro-Linux @Facebook
Neue Nachrichten

141
Mach­t's gut!

51
Neue Raspber­ry Pi-Va­ri­an­te mit 8 GB RAM

0
Genode 20.05 frei­ge­ge­ben

9
Sub­ver­si­on 1.14.0-LTS vor­ge­stellt

0
»Hum­ble Ci­ties: Sky­lines Bund­le« vor­ge­stellt

0
End of Life für Co­reOS Con­tai­ner Linux ver­kün­det

32
Elek­tra 0.9.2 er­schie­nen

8
Nex­tDNS ver­lässt die Be­ta-Pha­se

23
Tu­xe­do stellt Ga­mer-Note­book vor

0
Libre Gra­phics Mee­ting be­ginnt als On­li­ne-Va­ri­an­te
 
Werbung