Qubes OS 是一個以安全為導向的桌面操作系統,基於 Fedora,旨在通過隔離(虛擬機)提供安全性。其虛擬化由 XEN 進行。其默認桌面環境為 Xfce4 (自 3.2 版始)。
在經歷了 5 個發布候選、近兩年時間的開發與測試之後,Qubes OS 團隊終於在 3 月 28 日發布了 Qubes OS 4.0 版。這一大版本更新包含了許多針對安全與功能的根本性改進:
- 用以遠程管理的 Qubes Admin API;
- 用以連接其它所有組件並可配置系統的「膠水」——Qubes Core Stack;
- 為應對 Xen XSA-254,引入完全虛擬化的 VM,其可解決 Meltdown 的問題並一定程度上阻礙至少一個 Spectre 變體;
- 多個靈活的一次性 VM 模板;
- 更富表達性且用戶友好的 Qubes RPC 策略系統;
- 一個新的功能強大的 VM 卷管理器,其簡化了將 VM 存至外置驅動器的過程;
- 通過分離 qubes-core-agent/qubes-core-vm 包及以及實現基於 qrexec 的更新代理以移除網路介面增強了 TemplateVM 安全性;
- 通過強制加密並以 scrypt 作為密鑰衍生函數增強了備份的安全性;
- 重寫命令行工具,並引入了新的選項。
考慮到仍有部分用戶設備可能達不到 Qubes 4.0 帶來的硬體限制等問題,Qubes 3.2 版本將通過 3.2.1 這一小更新繼續獲得支持至一年之後(2019 年 3 月 28 日)。這一尚未到來的新版本將包含更新的 TeamplateVMs 及更新的內核,並將會在測試 4.9 內核完成之後儘快發布。
現在及未來,Qubes 團隊將關注於 Qubes 4 的下一版本——Qubes 4.1。Qubes 團隊將跟進在其 GitHub issues 頁面的不斷增長的增強與改進列表,這些改進設計 Qubes 的各方各面。
Qubes 採用隔離(Compartmentalization,經由輕量級 Xen 虛擬機)的方式來達到安全的目的。其允許用戶劃分出一個個安全隔離的隔間,並把這種隔間稱作 qube。這種方法可以讓用戶保持其計算機上不同的東西安全地互相隔離,這樣一個qube 受到攻擊就不會影響其他的東西。例如,用戶可能有一個用於訪問不受信任的網站的 qube,另一個用於訪問網上銀行的 qube 。這樣,如果用戶在利用前者瀏覽網頁時受到惡意軟體網站的攻擊(併產生了一定的效果),在後者中進行的網上銀行活動將不會受到威脅。類似地,如果用戶擔心某個電子郵件的附件帶有惡意,Qubes 可使得每個附件都以其自己的一次性 qube 打開。通過這種方式,Qubes 可以讓用戶在同一台物理計算機上做所有的事情的同時,不必擔心一次成功的網路攻擊會毀了一切。顯然,Qubes 較之 Tails 等利用 live disc 及 Tor 的發行版關注的是不同安全方向,而對於日常使用來說,Qubes OS 可能符合一般需要。
可能是由於 Qubes 本身的複雜性,其硬體需求較之一般發行版更高。Qubes 4.x 硬體要求如下:
- 64-bit Intel or AMD processor (x86_64 aka x64 aka AMD64)
- Intel VT-x with EPT or AMD-V with RVI
- Intel VT-d or AMD-Vi (aka AMD IOMMU)
- 4 GB RAM
- 32 GB disk space
官方網站:
https://www.qubes-os.org/;
下載地址:
https://www.qubes-os.org/downloads/;
安裝指引:
https://www.qubes-os.org/doc/installation-guide/。
封面圖片是 Qubes 3.2 的運行截圖(桌面環境為 Xfce4),轉載自 Qubes-OS.org;文內的一些內容轉錄或衍生自 Qubes-OS.org 、英文維基百科的 Qubes_OS 詞條及 DistroWatch.com 的對應頁面,且其中部分衍生過程藉助了 Google Translate 完成;前述資料基於 Fair Use 利用並可能受到對應版權所有人的其它版許可權制條款之約束。
That's not just logic. That's really seelibsn.