Sistema operativo Qubes

La versión actual de la página aún no ha sido revisada por colaboradores experimentados y puede diferir significativamente de la versión revisada el 25 de noviembre de 2021; las comprobaciones requieren 9 ediciones .

Sistema operativo Qubes
Aplicaciones que se ejecutan en diferentes dominios de seguridad
Desarrollador	Laboratorio de cosas invisibles
familia de sistemas operativos	GNU/Linux
Residencia en	Red Hat Enterprise Linux
Fuente	Software de código abierto ( GPLv2 ) [1]
Primera edición	7 de abril de 2010 [4]
ultima versión	4.1.1 ( 18 de julio de 2022 ) [2]
Última versión de prueba	4.1.1-rc1 [3] ( 27 de junio de 2022 ) ( 22 de enero de 2020 )
Método de actualización	Yum ( kit de paquete )
Administradores de paquetes	RPM
Plataformas compatibles	x86_64
tipo de núcleo	Microkernel ( hipervisor Xen con kernel de Linux basado en SO mínimo y otros)
Interfaz	xfce
Licencia	GNU GPL 2 [5]
Estado	Activo
Sitio web	qubes-os.org
Archivos multimedia en Wikimedia Commons

Qubes OS es un sistema operativo de escritorio centrado en la seguridad que tiene como objetivo proporcionar seguridad a través del aislamiento [6] [7] [8] . La virtualización se basa en Xen . El entorno de usuario puede estar basado en Fedora , Debian , Whonix , Windows y otros sistemas operativos [9] [10] .

El 16 de febrero de 2014, Qubes se convirtió en finalista del premio Access Innovation Prize 2014 en la nominación de Endpoint Security Solution [11] . El ganador fue Tails , otro sistema operativo orientado a la seguridad [12] .

Objetivos de seguridad

Qubes implementa un enfoque de seguridad en aislamiento [13] . La suposición es que no puede haber un entorno de escritorio perfecto y libre de errores . Tal entorno tiene millones de líneas de código , miles de millones de interacciones de software / hardware . Un error crítico puede llevar a que un software malicioso tome el control de la máquina [14] [15] .

Para proteger el escritorio , el usuario de Qubes debe tener cuidado de delimitar los diferentes entornos para que cuando uno de los componentes se vea comprometido, el malware solo tenga acceso a los datos dentro del entorno infectado [16] .

En Qubes, el aislamiento se proporciona en dos dimensiones: los controladores de hardware se pueden asignar a dominios funcionales (por ejemplo, dominios de red, dominios de controlador USB ), mientras que la vida digital del usuario se define en dominios con diferentes niveles de confianza. Por ejemplo: espacio de trabajo (más confiable), dominio de compras, dominio aleatorio (menos confiable) [17] . Cada uno de estos dominios se ejecuta en una máquina virtual separada .

Qubes no es un sistema multiusuario [18] .

Descripción general de la arquitectura del sistema

Hipervisor Xen y dominio administrativo (Dom0)

El hipervisor proporciona aislamiento entre máquinas virtuales. El dominio administrativo, también llamado Dom0 (un término heredado de Xen), tiene acceso directo a todo el hardware por defecto. Dom0 aloja el dominio de la GUI y administra los dispositivos gráficos y los dispositivos de entrada , como el teclado y el mouse. El dominio GUI también alberga el servidor X , que muestra el escritorio del usuario y un administrador de ventanas que permite al usuario iniciar y detener aplicaciones y administrar sus ventanas.

La integración de máquinas virtuales se proporciona a través del Visor de aplicaciones, que crea la ilusión de que las aplicaciones se ejecutan en el escritorio. De hecho, están alojados (y aislados) en diferentes máquinas virtuales. Qubes combina todas estas máquinas virtuales en un entorno de escritorio común.

Debido a que Dom0 es sensible a la seguridad, está aislado de la red. Como regla general, tiene la menor conexión posible con otros dominios para minimizar la posibilidad de un ataque que se origine en una máquina virtual infectada [19] [20] .

El dominio Dom0 administra los discos virtuales de otras máquinas virtuales, que en realidad se almacenan en los archivos del sistema de archivos dom0 . El espacio en disco se conserva mediante el uso de diferentes máquinas virtuales (VM) que usan el mismo sistema de archivos raíz de solo lectura. El almacenamiento en disco separado se usa solo para los directorios de usuario y la configuración de cada máquina virtual. Esto le permite centralizar la instalación y actualización del software. También es posible instalar aplicaciones solo en la máquina virtual seleccionada, instalándolas no como root o instalándolas en un directorio /rw no estándar.

Dominio de red

El mecanismo de red es más susceptible a ataques externos. Para evitar esto, se aísla en una máquina virtual separada sin privilegios llamada Dominio de red.

Se utiliza una VM de cortafuegos adicional para alojar un cortafuegos basado en el kernel de Linux, de modo que incluso si el dominio de la red se ve comprometido debido a un error en el controlador del dispositivo, el cortafuegos aún está aislado y protegido (porque se ejecuta en un kernel de Linux separado en un máquina virtual).

Máquina virtual de aplicaciones (AppVM)

Las AppVM son máquinas virtuales que se utilizan para alojar aplicaciones de usuario, como un navegador web, un cliente de correo electrónico o un editor de texto . Por motivos de seguridad, estas aplicaciones se pueden agrupar en diferentes dominios, como "personal", "trabajo", "compras", "banco", etc. Los dominios de seguridad se implementan como máquinas virtuales (VM) separadas, por lo que están aislados entre sí como si se estuvieran ejecutando en diferentes máquinas.

Algunos documentos o aplicaciones se pueden ejecutar en máquinas virtuales desechables mediante un administrador de archivos. El mecanismo repite la idea de un sandbox: después de ver un documento o una aplicación, se destruirá toda la máquina virtual desechable [21] .

Cada dominio de seguridad está codificado por colores y cada ventana está codificada por colores según el dominio al que pertenece. Por lo tanto, siempre es claramente visible a qué área pertenece la ventana dada.

Notas

1. ↑ Licencia del sistema operativo Qubes . Consultado el 28 de diciembre de 2017. Archivado desde el original el 8 de marzo de 2018. (indefinido)
2. ↑ Wong AD https://www.qubes-os.org/news/2022/07/18/qubes-4-1-1/
3. ↑ ¡Se ha lanzado Qubes OS 4.1.1-rc1! . (indefinido)
4. ↑ Presentación de Qubes OS - 2010.
5. ↑ https://www.qubes-os.org/doc/license/
6. ↑ Qubes OS incluye una seguridad de nivel de sistema virtuosa . El Registro (5 de septiembre de 2012). Consultado el 28 de diciembre de 2017. Archivado desde el original el 20 de agosto de 2019. (indefinido)
7. ↑ DistroWatch Weekly, número 656, 11 de abril de 2016 . Consultado el 27 de junio de 2018. Archivado desde el original el 6 de noviembre de 2018. (indefinido)
8. ↑ Escritorios seguros con Qubes: Introducción | Diario Linux . Consultado el 27 de junio de 2018. Archivado desde el original el 6 de noviembre de 2018. (indefinido)
9. ↑ Plantillas del sistema operativo Qubes . Consultado el 28 de diciembre de 2017. Archivado desde el original el 23 de abril de 2020. (indefinido)
10. ↑ Instalación y uso de AppVM basadas en Windows . Consultado el 28 de diciembre de 2017. Archivado desde el original el 20 de febrero de 2019. (indefinido)
11. ↑ ¡Se anunciaron los finalistas del premio Endpoint Security! . Michael Carbone (13 de febrero de 2014). Consultado el 28 de diciembre de 2017. Archivado desde el original el 14 de abril de 2015. (indefinido)
12. ↑ Se anunciaron los ganadores del Premio Access Innovation de 2014 en RightsCon . Michael Carbone (11 de marzo de 2014). Consultado el 28 de diciembre de 2017. Archivado desde el original el 12 de noviembre de 2018. (indefinido)
13. ↑ Los tres enfoques de la seguridad informática . Joanna Rutkowska (2 de septiembre de 2008). Consultado el 28 de diciembre de 2017. Archivado desde el original el 29 de febrero de 2020. (indefinido)
14. ↑ Qubes OS: un sistema operativo diseñado para la seguridad . El hardware de Tom (30 de agosto de 2011). (indefinido)
15. ↑ ¿Una fortaleza digital? . The Economist (28 de marzo de 2014). Consultado el 28 de diciembre de 2017. Archivado desde el original el 29 de diciembre de 2017. (indefinido)
16. ↑ Cómo dividir una computadora en múltiples realidades puede protegerlo de los piratas informáticos . Por cable (20 de noviembre de 2014). Consultado el 28 de diciembre de 2017. Archivado desde el original el 16 de febrero de 2017. (indefinido)
17. ↑ Dividir mi vida digital en dominios de seguridad . Joanna Rutkowska (13 de marzo de 2011). Consultado el 28 de diciembre de 2017. Archivado desde el original el 21 de abril de 2020. (indefinido)
18. ↑ Rutkowska, Joanna Grupos de Google: Qubes como sistema multiusuario . Grupos de Google (3 de mayo de 2010). Archivado desde el original el 22 de enero de 2011. (indefinido)
19. ↑ (Des)Confiar en su subsistema GUI . Joanna Rutkowska (9 de septiembre de 2010). Consultado el 28 de diciembre de 2017. Archivado desde el original el 6 de noviembre de 2018. (indefinido)
20. ↑ The Linux Security Circus: Sobre el aislamiento de GUI . Joanna Rutkowska (23 de abril de 2011). Consultado el 28 de diciembre de 2017. Archivado desde el original el 6 de noviembre de 2018. (indefinido)
21. ↑ Qubes para implementar máquinas virtuales desechables . OSnoticias (3 de junio de 2010). Consultado el 28 de diciembre de 2017. Archivado desde el original el 3 de octubre de 2018. (indefinido)

Enlaces

• qubes-os.org - sitio web oficial de Qubes OS
• Laboratorio de cosas invisibles
• Blog de cosas invisibles
• DistroWatch
• Informática de confianza, tecnología Intel Trusted Applications , Sandia National Laboratories, enero de 2011, Jeremy Daniel Wendt y Max Joseph Giese

Familias de distribución de Linux
Lista
Debian	estable AntiX laboratorio negro linux Sistema operativo sin fin ChaletOS crujido Devuán Elive Knoppix MEPIS MX Linux Sistema operativo Raspberry Pi SolydXK CutefishOS VenenuX VyOS ejecutable GNU/Linux Sector Prueba sueñolinux gLinux Menta de Linux Parsix finnix sid aptósido ubuntu Especial subgrafo CRUZ quienix Astra Linux Sistema operativo puro
ubuntu	Oficial Escritorio Ubuntu (Edición Netbook) Servidor Ubuntu Ubuntu Kylin Ubuntu para Android Ubuntu táctil Ubuntu TV no oficial Vinculado a DE Kubuntu KDE neón Lubuntu LXLE Xubuntu Ubuntu GNOME Ubuntu MATE Unidad Ubuntu edubuntu Estudio de Ubuntu Baltix cubo linux Pan comido sistema operativo elemental Emmabuntus Freespire gNuevoSentido GO Guadalinex infra Linspire Mangaka linux lite menta ubuntu runtu Trisquel Sistema de aplicaciones Ulteo Uruk Vinux bodhi linux escuela del sol sistema operativo menta Sistema operativo Pinguy
Fedora	reconstrucciones Korora Sombrero de fieltro ruso Derivados Red Hat Enterprise Linux sistema operativo estrella roja
sombrero rojo	mandriva linux Kylin reconstrucciones CentOS AlmaLinux Oráculo Sistema operativo Qubes Científico perro amarillo NauLinux yanux
Mandriva	Gaixá PCLinuxOS tenedores Magia rosa linux OpenMandriva Lx
Slackware	ConnochaetOS porteo Sistema operativo Salix slax Vector paseo zen
Gentoo	Calcular Liberté Linux Sabayón Ututo tambien es divertido
Arco	archbang ArchLabs Antegos Mánjaro Parábola Chakra
Independiente	Linux alternativo QUID KaOS Kwort Lunar turbolinux frugalware geco linux GuixSD abrirSUSE paldo SUSE Linux Enterprise Escritorio Vacío
Especial	minimalista malditamente pequeño Cachorro Slitaz Núcleo diminuto Rescate clonezilla finnix Magia Partida RIPLinuX SystemRescueCD Servicio caja trasera arconegro kali linux NetSecL Sistema operativo Parrot Security Juego de azar sistema operativo de vapor NAS archivo abierto Bóveda de OpenMedia Incrustado Acceso Linux alpino Androide mala Baidu Yi Familiar Sistema operativo Firefox mobilinux abiertomoko qtmoko tizén webOS Para trabajar con Tor linux kodachi Sistema operativo Parrot Security CRUZ quienix
Categoría Wikimedia Commons Wikinoticias Wikidata