Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 22 reacties
Bron: Qubes, submitter: Teckna

Qubes OS logo (75 pix)Enkele dagen geleden is versie 3.0 van Qubes OS uitgebracht. Qubes OS is een op privacy en beveiliging georiënteerd besturingssysteem welk gebruik maakt van security by isolation, wat inhoudt dat de verschillende onderdelen van het OS in aparte vm's draaien. In tegenstelling tot bijvoorbeeld VMWare en Virtualbox is er geen host-os, maar draaien de vm's direct op de aanwezige hardware. De virtualisatie wordt door bare metal hypervisor Xen verzorgd en voor de gebruikersomgeving kan onder meer uit Fedora, Debian, Whonix en Windows worden gekozen. Meer informatie over Qubes OS kan op deze pagina worden gevonden. De belangrijkste verbeteringen in versie 3.0 zijn hieronder voor je op een rijtje gezet.

New features since 2.0
  • HAL (Hypervisor Abstraction Layer) - based on libvirt, opens a whole new possibilities of using different hypervisors. Currently Qubes OS uses Xen.
  • Xen 4.4 - many new features, but for us the most important is much more mature libxl toolstack.
  • Qrexec 3 - greatly improved performance by using direct VM-VM connections and bigger buffers.
  • Debian templates gets official support.
  • Whonix templates
  • Build system improvements - especially support for distribution-specific plugins (makes supporting multiple distributions much easier) and building templates using DispVM.
  • Automated tests - makes much easier to find bugs, before its even shipped to users
Known issues
  • Windows Tools: qvm-block does not work
  • UEFI is not supported, you need to enable “legacy boot” in BIOS before installing Qubes OS
  • Some icons in the Qubes Manager application might not be drawn correctly when using the Xfce4 environment in Dom0. If this bothers you, please use the KDE environment instead.
  • If your GPU is not correctly supported by the Dom0 kernel (e.g. the 3D desktop effects do not run smoothly) then you might experience “heaviness” with Windows 7-based AppVMs. In that case, please solve the problem with your GPU support in Dom0 in the first place (by using a different kernel), or install Qubes OS on a different system.
  • For other known issues take a look at our tickets

Applications running in different security domainsQubes OS arch diagram

Versienummer:3.0
Releasestatus:Final
Website:Qubes
Download:https://www.qubes-os.org/doc/QubesDownloads/
Bestandsgrootte:3,45GB
Licentietype:Voorwaarden (GNU/BSD/etc.)

Updategeschiedenis

Moderatie-faq Wijzig weergave

Reacties (22)

Nu sta ik op het punt om m'n laptop eens opnieuw te installeren. Heeft het zin om hier naar te kijken?

Ik neig naar een ubuntu-based distro met XFCE maar kan iemand iets zeggen over installatiegemak en werkbaarheid van dit OS met bv Debian? Is het iets voor iedere dag gebruik of kom je dan toch te veel onhandige zaken tegen?
Het is zeker niet zo makkelijk als Debian/Ubuntu/Mint. Je zult na de installatie echt nog zelf het eea moeten configureren om dit OS je eigen te maken. Het is eigenlijk ook niet een OS, het is meer een manier om meerdere OS'en te combineren op een seamless / veilige manier.

Waar je bijvoorbeeld een vm hebt voor unsafe browsing, die opgebouwd wordt vanuit een template tijdens opstarten en weer vernietigd wordt als je hem afsluit, een exploit zal dan ook alleen voor de duratie van deze vm actief zijn in het systeem. En dan alleen maar op deze VM ipv dat je complete systeem compromised is. En weer een andere VM voor werkzaken. Een VM apart voor je mailclient, zodat als in je mail een exploit komt alleen je mailclient zelf compromised is zonder je hele systeem, etc, etc... Het is maar net hoe je het zelf instelt en gebruikt na installatie. Je bent flexibel om het je eigen te maken, maar dat kost wel even tijd (en het is even wennen om het OS te gebruiken)

Het is verder ook niet bedoeld als Multimedia OS want je hebt geen 3D / OpenGL support in de VM's vanwege veiligheidsredenen. (Als je toegang hebt tot je GPU op een VM kan een hacker je complete systeem in de gaten houden). Dus (fullscreen) video is wat lastig (al valt er wel het eea te tweaken in de instellingen hiervoor) en spellen kan je echt vergeten. Maar er is wel al geexperimenteerd met GPU passthrough met een secundaire GPU/Monitor naar een dedicated VM waar er daadwerkelijk spelletjes etc gespeeld zijn zonder problemen.

Daarnaast moet je jezelf afvragen of je laptop voldoende geheugen heeft (8GB is echt het absoluut minimale, maar hoe meer hoe beter) En daarnaast of je laptop wel IOMMU/VT-d support heeft. Op een desktop gebruikelijk, een laptop minder. Qubes draait wel zonder IOMMU/VT-d maar het is wel stukken minder veilig.
Helder verhaal! Dank je wel.

Ik hou het bij een gewone Linux-distro :-)
Je vraag komt niet helemaal overeen met wat Qubes OS biedt. Als je op zoek bent naar een Ubuntu-based distro met Xfce, dan is Xubuntu de beste keuze. Gebruik het zelf al jaren naar tevredenheid en installatiegemak en werkbaarheid is hetzelfde (zoniet zelfs makkelijker) dan Ubuntu of Debian zelf. Het heeft alleen een wat spartaansere GUI dan Ubuntu. Eventueel alternatief is Linux Mint Xfce.

Qubes OS is echter een besturingssysteem dat acteert als een Type 1 hypervisor. Dit in tegenstelling tot Type 2 hypervisors zoals Virtualbox/VMware/Parallels. Lees de introductie van Qubes OS voor meer uitleg hierover. Korte samenvatting: Qubes OS biedt de mogelijkheid om je software in aparte virtual machines ("VM's") naast elkaar te draaien. Grote verschil met Virtualbox/VMware/Parallels is dat deze laatste programma's een VM kunnen draaien die zo veilig is als de host OS zelf waarop ze lopen. Is de host OS genakt, dan is je VM net zo kwetsbaar. Qubes OS ondervangt dit door zelf slechts als Type 1 hypervisor te fungeren en niet als host OS. Je software draait dus niet op Qubes OS zelf. Qubes OS start dan een VM op waarin jouw software draait. Raakt één van de VM's genakt, dan blijft Qubes OS zelf (evenals de andere VM's die eventueel draaien) nog in tact. Qubes OS noemt dit security by isolation.

De vraag die je jezelf dus moet stellen als je wilt weten of Qubes OS iets voor jou is: wil ik mijn software in aparte VM's draaien op een Type 1 hypervisor? Zoja, dan is Qubes OS iets voor jou. Als je echter tevreden bent met een Type 2 hypervisor, bv. je draait standaard Windows (host OS) en je gebruikt Virtualbox (in dit voorbeeld de Type 2 hypervisor) om een Linux distro in een VM te draaien, dan zul je Qubes OS niet gauw nodig hebben.
Dus als ik je goed begrijp is dit eigenlijk een tegenhanger van bijvoorbeeld esxi maar dan met schakelen tussen de weergaves van de verschillende vm's?
Inderdaad :)

Ik gebruik daarvoor expres het woordje "acteert" in de tweede alinea van mijn vorige post. Qubes OS is namelijk een besturingssysteem inclusief bare-metal hypervisor.

ESXi is de 'vanilla' bare-metal hypervisor zoals we die allemaal kennen. Deze bestaat slechts uit enkele OS componenten zoals een kernel die direct op de hardware draait. Bovenop die kernel draaien dan hosts naar keuze in de vorm van een VM. Al deze VM's draaien dan naast elkaar op de bare-metal hypervisor. Maar let wel: ESXi is dus géén softwareprogramma die je installeert als een besturingssysteem. Want als je alle VM's afsluit, dan houdt je alleen de bare-metal hypervisor over die je enkel kunt benaderen via een service console. Geen desktop, fancy GUI etc.

Wat Qubes OS doet is precies hetzelfde, maar dan wèl in de vorm van een softwareprogramma die je installeert als een normale besturingssysteem. Qubes OS gebruikt dan vervolgens Xen als bare-metal hypervisor om de VM's te draaien. Het grote verschil met ESXi is dat je in Qubes OS al deze VM's in de GUI van het besturingssysteem (oftewel Qubes OS zelf) naast elkaar ziet: een desktop met alle programma's die je draait in verschillende windows, waarbij iedere window een eigen kleurtje heeft zodat je direct het onderscheid kunt zien tussen de VM's (iedere VM heeft een eigen kleur). Sluit je al deze programma's af (en daarmee dus de VM's waarin die programma's draaien), dan houdt je enkel de desktop van het besturingssysteem Qubes OS over. En dat kan iedere desktop zijn die je wilt: Qubes ondersteunt Debian, Fedora, Whonix en zelfs good 'ol MS Windows.
Dank voor je reactie. Het gaat vermoedelijk Mint worden (out-of-box support) of ubuntu server en dan nog maar eens rondkijken (overweeg ook xmonad bv).
Nu sta ik op het punt om m'n laptop eens opnieuw te installeren. Heeft het zin om hier naar te kijken?

Ik neig naar een ubuntu-based distro met XFCE maar kan iemand iets zeggen over installatiegemak en werkbaarheid van dit OS met bv Debian? Is het iets voor iedere dag gebruik of kom je dan toch te veel onhandige zaken tegen?
Ligt helemaal aan je kennisniveau

Kom je van een Windows systeem, of heb je al ervaring met Linux systemen.
Komende van een windows-only punt, kan ik je vertellen ..... het kan, maar met véél moeite en eigen inzet.

Google is je vriend, en voor alles is wel een how-to te vinden.
Draai al jaren Linux op meerdere systemen (laptop/PC en als server) maar altijd debian/ubuntu-based tot nu toe.

Zou graag van iemand met ervaring hiermee willen horen of er veel verschil in installatie en werken met.. zit.
Heb jij er ook nog een met een lamp :D.
Zonnepanelen, die niet zo optimaal gecalibreert zijn.
Loopt hier een reporter rond, die de hele dag zijn wichelroede slingert, maar dat werkt ook al niet
Lol :

Qubes OS is een op privacy en beveiliging georiënteerd besturingssysteem
•UEFI is not supported, you need to enable “legacy boot” in BIOS before installing Qubes OS
Tja "Secure Boot" is ook niet de eindoplossing voor alle beveiligingsproblemen. Persoonlijk kan ik me ook niet vinden in deze methode, nu moet je "app-vm's" en beveiligingsniveau's gaan managen.
Inderdaad, een UEFI boot was nog niet mogelijk door Xen 4.1, maar met de upgrade naar Xen 4.4 wel en ze zijn er ook mee bezig. Waar de prognose is dat deze in Qubes 3.1 wel zal zijn. Een RC is geplanned voor eind oktober, dus heel erg lang hoeven we er niet meer op te wachten.
Kan iemand mij een zo goedkoop mogelijk am3+ moederbord aanraden met de benodigde specs voor qubes os? Heb verschillende specs van verschillende chipsets bekeken maar zie door de bomen het bos niet meer ;)

dus am3+ micro atx mb'tje met AMD-v technology + IOMMU + legacy boot mode... wie o wie?
is dit OS niet (mede) ontwikkeld door die security chick ....
* himlims_ gaat zoeken
gevonden: https://en.wikipedia.org/wiki/Joanna_Rutkowska

waarom wordt dit weer in de - gezet? is kets ontopic?

[Reactie gewijzigd door himlims_ op 6 oktober 2015 11:10]

Het is wel een beetje vreemd dat de blue pill VM security exploit mensen
een VM based "secure OS" ontwikkelen.
Waarom? Dat zijn juist de mensen die ik daar het meeste in vertrouw. Ze weten precies hoe de VM rommel in Intel en AMD CPU's werkt en ze weten ook precies hoe ze het veilig krijgen.

Mocht je het niet vertrouwen is de broncode gewoon openbaar. Zou hartstikke stom zijn als ze er zoiets in verstoppen. Als dat uit zou komen hebben ze echt een mega reputatieprobleem.
Waarom? Dat zijn juist de mensen die ik daar het meeste in vertrouw. Ze weten precies hoe de VM rommel in Intel en AMD CPU's werkt en ze weten ook precies hoe ze het veilig krijgen.
Omdat de meeste beveiligingsonderzoekers wel ... blijven onderzoeken. Een ontwikkeling als deze is een heuse opgave en neemt dan ook tijd weg uit het "vulnerability" onderzoek.
Ook is het weleens zo dat het onderzoeksonderwerp in lijn ligt met de smaak of vakgebied van de onderzoeker: iemand die het niet heeft voor Windows probeert Windows te kraken.
Mocht je het niet vertrouwen is de broncode gewoon openbaar. Zou hartstikke stom zijn als ze er zoiets in verstoppen. Als dat uit zou komen hebben ze echt een mega reputatieprobleem.
Dat heb ik nooit willen beweren. Het is gewoon ongewoon dat een onderzoeker de mouwen opstropt en gaat ontwikkelen.

[Reactie gewijzigd door goarilla op 6 oktober 2015 11:25]

Dit is net zoveel research als normaal beveiligingsonderzoek, een van de eerste OS'jes die ik ken die met VT-d alle rand hardware compleet scheid van alles en daarmee ook DMA attacks etc afvangt en allemaal andere rare patches tegen Xen toegepast heeft om alles compleet te isoleren. Vind t niet zo bijzonder, dit blijft ook gewoon onderzoek :)
Aah het OS als onderzoeksvehicuul, zo had ik het nog niet bekeken.

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True