Qubes OS 是一个以安全为导向的桌面操作系统,基于 Fedora,旨在通过隔离(虚拟机)提供安全性。其虚拟化由 XEN 进行。其默认桌面环境为 Xfce4 (自 3.2 版始)。
在经历了 5 个发布候选、近两年时间的开发与测试之后,Qubes OS 团队终于在 3 月 28 日发布了 Qubes OS 4.0 版。这一大版本更新包含了许多针对安全与功能的根本性改进:
- 用以远程管理的 Qubes Admin API;
- 用以连接其它所有组件并可配置系统的「胶水」——Qubes Core Stack;
- 为应对 Xen XSA-254,引入完全虚拟化的 VM,其可解决 Meltdown 的问题并一定程度上阻碍至少一个 Spectre 变体;
- 多个灵活的一次性 VM 模板;
- 更富表达性且用户友好的 Qubes RPC 策略系统;
- 一个新的功能强大的 VM 卷管理器,其简化了将 VM 存至外置驱动器的过程;
- 通过分离 qubes-core-agent/qubes-core-vm 包及以及实现基于 qrexec 的更新代理以移除网络接口增强了 TemplateVM 安全性;
- 通过强制加密并以 scrypt 作为密钥衍生函数增强了备份的安全性;
- 重写命令行工具,并引入了新的选项。
考虑到仍有部分用户设备可能达不到 Qubes 4.0 带来的硬件限制等问题,Qubes 3.2 版本将通过 3.2.1 这一小更新继续获得支持至一年之后(2019 年 3 月 28 日)。这一尚未到来的新版本将包含更新的 TeamplateVMs 及更新的内核,并将会在测试 4.9 内核完成之后尽快发布。
现在及未来,Qubes 团队将关注于 Qubes 4 的下一版本——Qubes 4.1。Qubes 团队将跟进在其 GitHub issues 页面的不断增长的增强与改进列表,这些改进设计 Qubes 的各方各面。
Qubes 采用隔离(Compartmentalization,经由轻量级 Xen 虚拟机)的方式来达到安全的目的。其允许用户划分出一个个安全隔离的隔间,并把这种隔间称作 qube。这种方法可以让用户保持其计算机上不同的东西安全地互相隔离,这样一个qube 受到攻击就不会影响其他的东西。例如,用户可能有一个用于访问不受信任的网站的 qube,另一个用于访问网上银行的 qube 。这样,如果用户在利用前者浏览网页时受到恶意软件网站的攻击(并产生了一定的效果),在后者中进行的网上银行活动将不会受到威胁。类似地,如果用户担心某个电子邮件的附件带有恶意,Qubes 可使得每个附件都以其自己的一次性 qube 打开。通过这种方式,Qubes 可以让用户在同一台物理计算机上做所有的事情的同时,不必担心一次成功的网络攻击会毁了一切。显然,Qubes 较之 Tails 等利用 live disc 及 Tor 的发行版关注的是不同安全方向,而对于日常使用来说,Qubes OS 可能符合一般需要。
可能是由于 Qubes 本身的复杂性,其硬件需求较之一般发行版更高。Qubes 4.x 硬件要求如下:
- 64-bit Intel or AMD processor (x86_64 aka x64 aka AMD64)
- Intel VT-x with EPT or AMD-V with RVI
- Intel VT-d or AMD-Vi (aka AMD IOMMU)
- 4 GB RAM
- 32 GB disk space
官方网站:
https://www.qubes-os.org/;
下载地址:
https://www.qubes-os.org/downloads/;
安装指引:
https://www.qubes-os.org/doc/installation-guide/。
封面图片是 Qubes 3.2 的运行截图(桌面环境为 Xfce4),转载自 Qubes-OS.org;文内的一些内容转录或衍生自 Qubes-OS.org 、英文维基百科的 Qubes_OS 词条及 DistroWatch.com 的对应页面,且其中部分衍生过程借助了 Google Translate 完成;前述资料基于 Fair Use 利用并可能受到对应版权所有人的其它版权限制条款之约束。
That's not just logic. That's really seelibsn.