¿Es posible obtener el concepto de seguridad del sistema operativo Qubes en otras distribuciones?

Navega tus respuestas
2

Estaba mirando el impresionante sistema operativo Qubes y me encanta la idea de la configuración de seguridad de la virtualización y me preguntaba si es posible obtener un concepto similar en un escritorio Linux estándar.

  1. ¿Puedo ejecutar aplicaciones en mi máquina Host en máquinas virtuales separadas? Por ejemplo, instale Firefox y tenga dos instancias de Firefox separadas que no pueden infectarse entre sí. No me gustaría instalar Virtualbox y tengo que usar diferentes sistemas operativos para ciertas tareas o propósitos. No sé si Sanboxing es similar a esto, pero hágame saber si lo es.

  2. ¿Puedo ejecutar un adaptador de red virtual en mi máquina host?

  3. ¿Puedo aislar ciertos archivos del resto del sistema?

Perdóneme si estas preguntas son tontas, no soy tan inteligente en el campo de la seguridad. Gracias!

    
pregunta 08.12.2017 - 06:12
fuente

1 respuesta

2

Le daría un "sí" a cada una de sus tres preguntas (2 es la más fácil, 1 la más difícil de lograr), pero con una nota al pie muy grande.

Puede obtener parte (o la mayoría) de lo que hace el sistema operativo Qubes con las tecnologías que menciona (por ejemplo, máquinas virtuales, tecnologías de contenedores / sandboxing, perfiles de armaduras de aplicaciones, etc.), al menos si está en Linux, porque esto es básicamente cómo Qubes OS lo hace.

Sin embargo, hacerlo bien es una tremenda cantidad de trabajo, y nunca obtendrá el mismo nivel de aislamiento que Qubes OS le proporciona, porque para lograrlo, tendría que ejecutar su SO como un máquina virtual en un hipervisor, y necesitaría hackear el sistema de ventanas.

La última es la parte relevante. El sistema operativo Qubes le ofrece un escritorio con ventanas individuales que pueden ejecutarse en sus propias máquinas virtuales, y las pulsaciones de teclas, eventos del mouse, etc. están aisladas entre sí.

Con la tecnología X actual, este tipo de aislamiento simplemente no es reproducible mientras se mantiene el mismo nivel de usabilidad. El sistema X Window está diseñado de una manera que hace que sea prácticamente imposible aislar los eventos de los usuarios sin cambios de código. Sin embargo, las cosas pueden cambiar una vez que las distribuciones vienen con Wayland.

  

No sé si Sanboxing es similar a esto

Hay una gran diferencia entre el sandboxing y la virtualización. La virtualización, según el grado de virtualización, simula una computadora completa en software o utiliza hardware de CPU especial para virtualizarlo (que es mucho más rápido). Sandboxing significa que estás poniendo algún software en un entorno donde no puede hacer mucho daño si se comporta mal. La virtualización es una forma específica de lograr esto, y proporciona el mejor aislamiento además de usar una segunda computadora. El uso de las capacidades de Linux para reducir el acceso a funciones específicas del kernel para un proceso dado es otra cosa, y hacer chrootear el sistema de archivos para que un proceso vea solo una parte específica de todo el sistema de archivos y otra más. El modo de usuario Linux (p. Ej., Ejecutar un kernel de Linux como un proceso en otro Linux) y soluciones como los Contenedores de Linux (LXC) son formas de crear recintos de prueba que no requieren tantos recursos como la virtualización completa, pero aún así proporcionan un buen aislamiento. / p>     

respondido por el Pascal 08.12.2017 - 16:36
fuente

Lea otras preguntas en las etiquetas

¿Cuándo usaré el encabezado de origen frente a la directiva SameSite frente al token csrf para la defensa CSRF? ¿Puede un programa que contenga virus, que se utiliza para actualizar el firmware de USB, infectarlo a pesar del formateo?