中国领先的IT技术网站
|
|

老外有话说 QubesOS初体验

用户对系统安全越来越高的要求,正促使着系统套件的推陈出新,QubesOS便是其中一个典型。

作者:Mike Turcotte来源:gHacks.net|2017-05-16 10:07

【51CTO.com快译】众所周知,使用GUN/Linux系统的安全性要比微软windows高出不少,但这并不意味着使用GUN/Linux就万无一失。用户对系统安全越来越高的要求,正促使着系统套件的推陈出新,QubesOS便是其中一个典型。


从某种程度上看来,QubesOS摆脱掉了之前发行版的影子,它的确非常与众不同,无论比起"十项全能"的Ubuntu、轻量简洁的Arch Linux还是高性能的Gentoo。
在一个单一的用户界面QubesOS可以运行多个虚拟机连接,形成一个基于容器划分的操作系统。这样做的目的,是假设攻击者成功远程访问你的电脑时,他们只能进入自己攻破的分区而不是整个电脑。

举个例子:假设你有两个"compartments"在运行,你用安装在compartment1里的火狐浏览器访问了一个带有恶意代码的网站,但幸运的是,你存在compartment2的银行信息、孩子的照片、给妻子的周年礼物惊喜等等这些,都逃过了黑客窥探的眼睛。

QubesOS同时运用了三种不同的套件:Debian、Fedora还有你可能没听过的Whonix。Whonix是一款GNU/Linux套件,可以通过TOR网络的互联网流量实现保护隐私和匿名的目的。

适配的机器规格(我的配置):
·英特尔酷睿i5-4210U
·8GB DDR3
·SSD
·运行QubesOS安装它自己的分区,而不是LiveUSB或VM。


安装

很遗憾没能提供安装界面的截图,不过其实安装QubesOS并不复杂。当然,我已经安装了无数的套件,在我的生活中使用的图形界面和命令行界面差不太多,但我要说的是,除非QubesOS是你第一个钻研的GNU / Linux系统,否则我并不建议你必须去搞定它。

安装程序提供自动安装和手动分区的选项,和安装任何其他GNU / Linux操作系统没有什么不同。但我认为值得一提的是,默认情况下QubesOS选择使用dm-luks整盘加密的安装,意味着你的整个设置(减去/boot分区)是加密的;我非常支持这样的做法。

安装的时间比较长,但由于操作系统的复杂性,这是毫不奇怪,完全安装完毕到我能够重启进入系统大约花费30-45分钟。

注:QubesOS不推荐双启动的情况,虽然这是可能的,但它会留下安全漏洞,因此QubesOS团队不推荐。


QubesOS的使用

启动QubesOS,标准的加密锁屏与Q标志向我打招呼。之后可以看到一个安装屏幕,弹出勾选框,可以开始勾选一些我希望系统帮我处理的事情,比如连接USB设备。

接驳USB设备的是一个叫做USB系统处理的部件,它能让我安心的使用USB设备,而不只是攻击外部来源;我每天用个人电脑做大量的服务器相关的工作,我的个人银行,我的文章和我的功课等等,毫无疑问,我需要更安全的操作环境。

做完我的工作之后,我可以退出屏幕,然后来到LightDM GTK的登录屏幕(典型的Xfce的登录屏幕)。输入密码,然后才能回到我的默认桌面。

 QubesOS使用Xfce作为其桌面环境,这看起来很专业,但似乎不够漂亮,至少看起来还比较简约大方吧。

正如前面的截图,在默认状态下,桌面上会有一个被称为"Qubes VM Manager"的管理器。这个VM管理器,显示了所有虚拟机运行的所有核心细节,如内存使用情况。如果需要重启或开启新的进程,你会用到它。

在安装过程中,我使用了默认的虚拟机设置,所以我有相当数量的虚拟机在运行,当然你也可以根据需要定制你的安装内容。

默认值

Disposable VM-完全抛弃,一旦你运行的软件关闭,VM也随之关弃,直到你启用一个新的VM。

Anon-Whonix-Whonix VM那里所有的流量通过Tor网络路由。

Personal-用于您自己的个人文件和活动。

Untrusted-任何时候都不要使用VM访问一个不可信的网站或者下载有威胁的内容。

Vault-可能你想运行应用程序或下载文件,但一定要保证安全。要登陆网上银行?储存你家人的照片?在这里进行。

Work-个人说明。

需要指出的是,如果你在"个人"Qube的浏览器下载一只狗的照片,然后从你的"工作"Qube输入搜索这个文件,你会找不到那只狗的照片。

这是一个单独的虚拟机,你几乎可以想象它就像拥有多台电脑一样,都在你的屏幕上。然而,值得庆幸的是,你可以右键点击想要的文件,实现文件之间的Qubes转移。选择"移动到其他appvm"或"复制到其他appvm",然后输入你要转移的文件到其所在目录如"金库"或"工作"。

另外需要指出的是,上面这些"域"被称为QubesOS,也有"模板"菜单项。
上述Qubes,都创造了"模板"的分布,如Fedora,Debian或Whonix。我的一切都基于Fedora或Whonix,尽管我有一个debian-8 Jesses模板。你没有安装软件到您的"域",而是在QubesOS "模板"里,然后软件可用到"域"。起初有点混乱,不过慢慢就好多了。

当然,关于QubesOS值得讲述和讨论的地方还有很多,在本文中就不一一赘述了,如果你已经安装了QubesOS,可以在QubesOS DOC页上获取更多信息。

应用

QubesOS有常规的软件、音乐播放器、图片管理、文件管理器、火狐浏览器等,但是它没有LibreOffice办公软件,当然你可以自己安装。为了安装LibreOffice,我得进入我的面板菜单,进入fedora-23模板,并安装LibreOffice,然后重新启动,之后就可以用我的LibreOffice,开始写文章了。

需要说明的是,QubesOS无法支持3D游戏,因为OpenGL开放会造成许多潜在的威胁,需要QubesOS团队改进提升的方面还有很多。所以,如果你是一个玩家,QubesOS不属于你。

最后的思考


QubesOS很先进,如果你对GNU / Linux管理器不太熟悉,如果你还没有准备放弃对操作系统的传统观念,我不推荐你去安装它。然而,如果你真的很看重系统安全,QubesOS不失为你的一个好伙伴。

原文标题:https://www.ghacks.net/2017/05/07/gnulinux-security-a-look-at-qubesos/
【51CTO译稿,合作站点转载请注明原文译者和出处为51CTO.com】

【编辑推荐】

  1. 如何在Linux上使用Meld比较文件夹
  2. 在 Linux 上给用户赋予指定目录的读写权限
  3. Linux之正则表达式
  4. 从损坏的Linux EFI安装中恢复
  5. Linux:引号那些事
【责任编辑:刘妮娜 TEL:(010)68476606】

点赞 0
分享:
大家都在看
猜你喜欢

热门职位+更多

读 书 +更多

Windows用户态程序高效排错

本书是一本介绍Windows系统上的用户态程序排错方法和技巧的书。本书分为4个章节,先介绍最重要的、通用的思考方法,以便制定排错步骤;再介...

订阅51CTO邮刊

点击这里查看样刊

订阅51CTO邮刊
× 大数据高端培训 仅限10人