È possibile ottenere il concetto di sicurezza del sistema operativo Qubes su altre distro?

Naviga le tue risposte
2

Stavo guardando il fantastico sistema operativo di Qubes e adoro l'idea della configurazione della sicurezza di virtualizzazione e mi chiedevo se fosse possibile ottenere potenzialmente un concetto simile su un desktop Linux standard.

  1. Posso eseguire applicazioni sul mio computer Host in VM separate? Ad esempio, Firefox è installato e ha due istanze di Firefox separate che non possono infettarsi a vicenda. Odio installare Virtualbox e utilizzare diversi sistemi operativi per determinate attività o scopi. Non so se Sanboxing è simile a questo, ma fammi sapere se lo è.

  2. Ad ogni modo posso eseguire una scheda di rete virtuale sul mio computer host?

  3. Posso isolare determinati file dal resto del sistema?

Perdonami se queste domande sono stupide, non sono così intelligente nel campo della sicurezza. Grazie!

    
posta 08.12.2017 - 06:12
fonte

1 risposta

2

Ti darei un "sì" a ciascuna delle tue tre domande (2 è più facile, 1 più difficile da ottenere), ma con una nota molto ampia.

Puoi ottenere (o la maggior parte) di ciò che fa Qubes OS con le tecnologie che hai citato (ad es. macchine virtuali, tecnologie contenitore / sandboxing, profili di armatura di app ecc.), almeno se sei su Linux, perché questo è fondamentalmente come fa Qubes OS.

Tuttavia, averlo a posto è una quantità enorme di lavoro, e non avrai mai lo stesso livello di isolamento che ti offre Qubes OS, perché per riuscirci, dovresti eseguire il tuo OS come macchina virtuale su un hypervisor e avresti bisogno di hackerare il sistema di finestre.

L'ultimo è la parte rilevante. Qubes OS ti offre un desktop con finestre individuali che possono essere eseguite nelle loro macchine virtuali, e sequenze di tasti, eventi del mouse ecc. Sono isolati l'uno dall'altro.

Con l'attuale tecnologia X, questo tipo di isolamento non è semplicemente riproducibile mantenendo lo stesso livello di usabilità. Il sistema X Window è progettato in modo da rendere praticamente impossibile isolare gli eventi utente senza modifiche al codice. Le cose potrebbero cambiare una volta che le distribuzioni vengono con Wayland, però.

I don't know if Sanboxing is similar to this

C'è una bella differenza tra Sandboxing e Virtualizzazione. La virtualizzazione, a seconda del grado di virtualizzazione, simula un intero computer nel software o utilizza un hardware speciale della CPU per virtualizzarlo (che è molto più veloce). Sandboxing significa che stai mettendo un po 'di software in un ambiente in cui non può fare molto male se si comporta male. La virtualizzazione è un modo specifico per raggiungere questo obiettivo, e fornisce il miglior isolamento oltre a utilizzare effettivamente un secondo computer. L'uso delle funzionalità di Linux per ridurre l'accesso a funzioni specifiche del kernel per un dato processo è un altro, e il chroot del filesystem in modo che un processo veda solo una parte specifica dell'intero filesystem ancora un altro. Modalità utente Linux (ad esempio, l'esecuzione di un kernel Linux come un processo in un altro Linux) e soluzioni come Linux Containers (LXC) sono modi per costruire sandbox che non sono così impegnative come la virtualizzazione completa, ma forniscono comunque un buon isolamento.

    
risposta data 08.12.2017 - 16:36
fonte

Leggi altre domande sui tag

Idoneità degli algoritmi di crittografia per diversi tipi di contenuto Quando dovrei usare l'header di origine contro la direttiva SameSite vs il token csrf per la difesa di CSRF