Как стать автором
Обновить

Использование QubesOS для работы с Windows 7

Время на прочтение 9 мин
Количество просмотров 20K
Всего голосов 15: ↑14 и ↓1 +13
Комментарии 24

Комментарии 24

Спасибо за прекрасную статью, коих очень мало на хабре.
Было бы здорово если продолжили бы писать, а особенно про disposibleVM.

На сколько я знаю что бы поставить QubesOS нужно специальное железо.
Не на любой же ноутбук/компьютер встанет?

Спасибо за спасибо)


Ведется список совместимого оборудования, можно посмотреть там требования и модели ноутбуков.
В целом это поддержка виртуализации (vt-x, vt-d) и побольше памяти, минимум вроде от 4гб, но лучше 6-8. Ну и SSD, без него будет сложно.

По опыту тестирования 3 версии могу сказать, что 4 гига и HDD хватает, хотя мысли, что надо бы увеличить оперативку до как раз сказанных 6-8 проскальзывают с завидной частотой, но нужно минимизировать окружение. К примеру, вместо стандартного DE, использовать их конфиг на базе тайлового менеджера i3 и много воркспейсов за раз не запустишь.

НЛО прилетело и опубликовало эту надпись здесь

К сожалению разработчики ОС не жалуют GPU, о чем прямым текстом пишут у себя на сайте. Но можете посмотреть еще такие варианты, правда оба в некоторой альфа стадии:


  • Subgraph OS — альтернативная ОС
  • appvm — более лайтовое решение, позволяет в той же Ubuntu или любом другом linux-based дистрибутиве реализовать похожую концепцию QubesOS ВМ

Да, отсутствие GPU видится как основная преграда, видео в полный экран на коленках не посмотришь. Думаю для ноутбуков вариант использования GVT-g интересный, но аппаратные требования будут выше обычных.

Тут от обычного просмотра видео до работы с модным ML путь заказан получается без танцев с бубном.


Не только аппаратные, банально неудобно будет, если основная машина это лэптоп :)

Ну с ML можно удаленно поработать, даже поиграть уже можно.


лэптоп это окно в облако :)

Аккурат к нашему разговору разработчики QubesOS добавили новую фичу — GuiVM, которая будет доступна в 4.1 и по сути решает эту "проблему"

Хорошо бы, но нет. Они сейчас выносят GUI (Xserver+xfce4) из dom0 в отдельную ВМ, чтобы разделить админа и пользователя. Тут только сложности — в оконном менеджере не будет поддержки композита вообще, пока они не сделают полноценный pass-through видеокарты в новый GuiVM. Варианты "разделять" GPU пока не подходят с их моделью угроз.

Как говорится, "Это один маленький шаг для ..." :)

Можно посмотреть в сторону KVM и VFIO mdev

Очень смешанные впечатления. С одной стороны действительно круто. Наверняка, сложнее будет вредоносу или взломщику повысить свои привилегии в такой системе и дотянутьс до ценных данных. С другой стороны, это же насколько нужно не доверять ядру линукса, чтобы засовывать в свою виртуализацию. Которая тоже не безгрешна. Кода много, кто-то его аудит проводил, тем более я если мы говорим про коммерческие решения вроде vmware (это немного вне контекста xen/qubeos) и про саму архитектуру x86, которая костыль на костыле.
Как эксперимент — реально круто. Как промышленное решение — больше вопросов, чем ответов. Включая эффективность работы на типовых задачах, требующих разделения файлов, работы с сетью и пр. (Например, типовая офисная работа в нескольких пакетах, разработка). Тем более, что половина уязвимостей уже в вебе — как от них спасет такая система?

Ну дело не в доверии или недоверии непосредственно ядру, ошибки есть везде, речь об необходимости снижать возможные последствия этих ошибок. Такая функциональная сегментация как раз для этого. Хотя некоторые угрозы действительно кажутся фантастикой.


Типовая офисная работа не самая сложная задача. Если запускать ту же Windows в режиме рабочего стола да на весь экран, так вообще все знакомо.


А что касается веба, то система спасет не от уязвимостей, а от потенциальной кражи/утраты всех данных разом. Даже простое разбиение, предлагаемое по умолчанию, на персональную ВМ, рабочую ВМ и, например, финансовую, уже спасет рабочую почту и контакты от социальных сетей.

Это не особо спасет, т.к. нужно четко придумать надежный способ аттачить усб дивайсы к нужным ВМкам (те же цифровые токены). К тому же какой ценой достигается эта "защищенность". Понадобятся компьютеры с мощностью х2 от того, что есть сейчас для выполнения тех же задач. Очень эффективная конвертация электроэнергии в теплоту. Чего говорить. Мне в принципе идея изоляции нравится, но мне кажется, что ее нужно строить на другом уровне. Мы пришли к ВМкам от того, что весь нынешний софт пишется безобразно. От того, что мы его инкапсулируем — софт менее безобразно написан не станет. 100%. Поэтому я вижу спасение только лишь в том, чтобы энфорсить правильные политики безопасности для всего софта (принцип наименьшего уровня привилегий, четко определенный список разрешений на все, песочницы типа docker/namespaces/jails etc.). И может быть того этот весь радикализм будет не нужен или нужен, но не так остро.


Касательно именно засовывания W7 в QubesOS — очень интересный эксперимент. Но нишевой. Как жить тем же пользователям Мака, например. Или на хромбуке каком повтори этот эксперимент (желательно без переустановки родной ОСи или с ее "опесочеванием").

"энфорсить" правильные политики безопасности дело дело хорошее, но не техническое. Кому-то доступное, кому-то не очень.


"Засунуть" MacOS в виртуалку дело вроде интересное и решаемое, а хромбук кажется просто слабой железкой. В целом согласен, что один из барьеров это аппаратные требования. С другой стороны, те кто хотят большей и понятной безопасности обычно терпеливее к этому.

НЛО прилетело и опубликовало эту надпись здесь

На практике не занимался, но насколько понял из попадавшихся мануалов для VirtualBox (они легко гуглятся) это решается конфигурацией эмулируемого оборудования.

Спасибо за отличную статью. Внутри Windows 7 можно попробовать повысить безопасность еще с помощью маленькой утилиты SuRun, раньше мы ее использовали на WinXP и она там достаточно хорошо помогала.

К чему эти все извраты? Windows 7 прекрасно работает без всего этого. Ну поддержка закончилась и что? Она и не нужна больше там. С учётом того что обновления клепают индусы, вижу одни только плюсы. Три года сидел на десятке, надоело быть тестировщиком индуских поделок, на семёрку ушёл. И понял что «лучшее» враг хорошему. ИМХО

Удобно, если используешь линукс, но нужно запустить виндовый софт. Да, можно использовать виртуалбокс или что-то другое, но если уже используешь Qubes OS, то есть "нативное" решение

Ну у меня вообще вызывают противоречивые эмоции платформа, развивающая одновременно корпоративный инструментарий управления, настойчивые средства переноса всего персонального в свое "облако", активно интегрирующее все вокруг под девизом "умного дома", и, в добавок, игровые функции xbox, включая стримминг.

Спасибо! Интересная статья и весьма актуальная. Пишу этот комментарий как раз с «кубов». Тоже эксперементирую с семеркой в виртуалке, пробую приготовить GPU passtrough, пока получился скорее PCI passtrough.
image
Зарегистрируйтесь на Хабре , чтобы оставить комментарий

Публикации

Истории