Sicherheit durch Isolation: Qubes OS 2 Beta 1 – basiert auf Fedora, nutzt Xen

16 Dezember 2012 Kein Kommentar Autor: Jürgen (jdo)

Qubes OS Teaser 150x150Joanna Rutkowska hat eine erste Beta-Version der Linux-Distribution Qubes OS 2 zur Verfügung gestellt. Das Betriebssystem basiert auf Fedora, bringt aber ein sehr interessantes Sicherheits-Konzept mit sich: “Sicherheit durch Isolation”. Verständlich gesagt benutzt Qubes OS Xen, um Applikatiobnen getrennt voneinander in verschiedenen Domänen laufen zu lassen. Es gibt hier einen längeren Blog-Eintrag, der die meisten Fragen bezüglich Qubes OS beantwortet.

Die erste Beta-Version  bringt Unterstützung für komplett virtualisierte AppVMs oder auch HVMs genannt. Weiterhin gibt es erste Unterstützung für die Integration Windows-basierter AppVMs. Die Entwickler sagen, dass es nicht einfach ist, Unterstützung für sichere HMVs in Qubes zu integrieren, ohne dabei die Sicherheits-Architektur zu umgehen. Zu diesem Thema hat sich Rutkowska in diesem Beitrag geäußert.

Qubes OS: Prinzip (Quelle: qubes-os.org)

Qubes OS: Prinzip (Quelle: qubes-os.org)

Die Unterstützung für HVMs bedeutet, dass Du nun viele verschiedene Betriebssysteme als Qubes VMs installieren kannst. Hier sind diverse Linux-Distributionen, BSD-Systeme und auch Windows gemeint. Anwender brauchen lediglich die Installations-Medien und das Aufsetzen funktioniert ähnlich wie bei VirtualBox oder VMware.

Wichtig zu verstehen ist, dass Qubes natürlich nicht jede einzelne Applikation in einer eigenen virtuellen Maschine laufen lässt. Vielmehr erstellt der Anwender Sicherheits-Domänen, die nach Themen geordnet sind. Ein typischer Anwender wird laut Aussage der Entwickler ungefähr 5 davon benutzen. Beispiele könnte so aussehen: Arbeit, Persönlich, Banking und so weiter. Wer sehr auf Sicherheit bedacht ist, wird dementsprechend mehr im Einsatz haben wollen.

Qubes OS: Dateien zwischen AppVMs kopieren (Quelle: qubes-os.org)

Qubes OS: Dateien zwischen AppVMs kopieren (Quelle: qubes-os.org)

Im Speziellen für Windows 7 bringt man diverse Tools für Windows-basierte AppVMs mit sich. Damit ist die Integration mit dem Rest des Qubes-Systems einfacher. Derzeit wird ein gesicherter Zwischenspeicher unterstützt, mit dem man Dateien zwischen Windows-basierten AppVMs und anderen AppVMs austauschen kann. Eine nahtlose Integration gibt es derzeit noch nicht. Windows-Applikationen fristen ihr Dasein also als komplettes Desktop-Fenster innerhalb eines Fensters. Man arbeitet derzeit daran, dies zu verbessern und verweist auf kommende Beta-Versionen.

Qubes ist komplett unter der GPLv2 veröffentlicht. Dies gilt allerdings nicht für die Windows Support Tools. Diese sind nicht als Open-Source verfügbar, aber Anwender dürfen sie kostenfrei nutzen. Per Standard werden diese Werkzeuge auch nicht eingespielt, weil das Installations-Medium GPL ist. Wer sie braucht, kann sich diese herunterladen.

Qubes OS mit verschiedenen Domänen (Quelle: qubes-os.org)

Qubes OS mit verschiedenen Domänen (Quelle: qubes-os.org)

Weitere Informationen zur Erzeugung von HVM-Domänen, inklusive Windows-basierte AppVMs findest Du im Wiki von Qubes OS. Weiterhin gibt es experimentelle Unterstützung für PVUSB und die X.Org-Pakete in Dom0 wurden aktualisiert, um neuere GPUs zu unterstützen. Du kannst auch Audio-Input anzapfen und als Stichwort geben die Entwickler Skype. Für TorVM gibt es “Out of the Box”-Unterstützung.

Wer bereits Qubes R1 im Einsatz hat, muss nicht neu installieren. Die Entwickler haben eine Upgrade-Prozedur veröffentlicht. Wie man neu installiert, findest Du hier. Wer Qubes mal ausprobieren möchte, kann sich ein ISO-Abbild von der Projektseite herunterladen. Die offizielle Ankündigung gibt es hierQubes-R2-Beta1-x86_64-DVD.iso (1,694MB).

Das würde mich gerade unglaublich reizen damit zu spielen. Obwohl man sich eigentlich denken kann, dass es Probleme gibt, Qubes OS selbst in einer virtuellen Umgebung laufen zu lassen, hatte ich es dennoch probiert – bei mir hat es nicht funktioniert, aber ich habe auch nicht lange damit gespielt. Das macht eigentlich nur auf einem dedizierten Rechner Sinn. Ich hätte da noch den Mac Mini im Schrank, aber den muss ich zuerst leer räumen … das ist eine Aufgabe für die Weihnachtsfeiertage …



Du kannst gerne Deinen Senf zu diesem Beitrag geben: Hier geht es zu den Kommentaren


Schreiben macht durstig! Eine kleine Erfrischung kann daher nie schaden. Wem dieser freie Artikel gefallen hat, der darf mir gerne einen frisch gezapften Hopfen-Tee ausgeben (Paypal - der Spenden-Knopf
oder bitcoin - Adresse: 1NacVNwcLLePUVv8uSafu5Ykdwh8QyDfgK). Ich freue mich über jede noch so kleine Spende. Vielen Dank und Prost!
 Alle Kommentare als Feed abonnieren

Antworten