Йоанна Рутковска (Joanna Rutkowska), известный польский исследователь в области компьютерной безопасности, анонсировала вторую бета-версию операционной системы Qubes OS, реализующей идею строгой изоляции приложений и компонентов ОС с задействованием системы виртуализации Xen. Каждый тип приложений и системных сервисов в Qubes OS работает в своей виртуальной машине. Каждое окружение (домен в терминологии Qubes OS) не может вмешиваться в работу других окружений и взаимодействует через специальный промежуточный сервис. Работа с изолированными программами осуществляется через единый рабочий стол - с точки зрения пользователя, программы запускаются как в обычных системах, а виртуализация плотно скрыта «под капотом». Подробнее с особенностями Qubes OS можно познакомиться в анонсе первой бета-версии.
Размер установочного iso-образа - 1.7 Гб. Системные требования достаточно велики: 4 Гб ОЗУ, 64-разрядный CPU Intel или AMD, желательно с поддержкой технологий VT-d или AMD IOMMU. Из графических карт в полной мере поддерживается только Intel GPU, при использовании NVIDIA наблюдаются проблемы, а работа карт AMD/ATI не протестирована.
Из реализованных во второй бета-версии новшеств можно отметить:
Переход на использование гипервизора Xen 4.1 (ранее использовался Xen 3.4). Улучшение поддержки VT-d. Более легковесный управляющий стек (в Qubes теперь используется xl вместо медленного и тяжеловесного xend). В качестве ядра Linux используется версия 2.6.38 для Dom0 и 3.0.4 для виртуальных машин; Реализован Qrexec, базовый механизм для организации междоменных сервисов для которых задается централизованные политика использования. Используя Qrexec первичный уровень Dom0 может выполнять команды в контексте виртуальных окружений, например, когда пользователь запускает из меню KDE приложение, это приложение должно стартовать в определенной виртуальной машине. Qrexec также может использоваться для перенаправления stdin/stdout/stderr из виртуальной машины в Dom0; Поддержка безопасного механизма для обновления Dom0, не требующего выполнения сетевых операций (Dom0 выполняется без поддержки сети); Улучшение средств для управления виртуальными машинами: упрощенный процесс назначения устройств для домена изолированного выполнения драйверов; гибкие возможности конфигурирования ядра, используемого в виртуальных окружениях; новая утилита qvm-prefs; Новый упрощенный механизм управления меню приложений (управление ярлыками в меню Start).
Что скажут местные параноики?
