Йоанна Рутковская (http://ru.wikipedia.org/wiki/%D0%A0%D1%8... (Joanna Rutkowska) представила (https://www.qubes-os.org/news/2016/09/29/qubes-32/)  выпуск операционной системы Qubes 3.2 (https://wiki.qubes-os.org), реализующей идею (https://www.opennet.dev/opennews/art.shtml?num=34732) использования гипервизора для строгой изоляции приложений и компонентов ОС (каждый класс приложений и системные сервисы  работают в отдельных виртуальных машинах). Для загрузки подготовлены (https://www.qubes-os.org/downloads/) установочный образ (4.7 Гб) и экспериментальный Live USB. Для работы необходима (https://www.qubes-os.org/hcl/) система с 4 Гб ОЗУ и 64-разрядным CPU Intel или AMD, желательно с поддержкой технологий VT-x/AMD-v и VT-d/AMD IOMMU.

Приложения в Qubes разделены на классы в зависимости от важности обрабатываемых данных и решаемых задач, каждый класс приложений, а также системные сервисы (сетевая подсистема, работа с хранилищем и т.п.), работают в отдельных виртуальных машинах. При этом указанные приложения бесшовно доступны в рамках одного рабочего стола и выделяются для наглядности разным цветом обрамления окна. Каждое окружение имеет доступ на чтение к базовой корневой ФС и локальному хранилищу, не пересекающемуся с хранилищами других окружений, для организации взаимодействия приложений используется специальный сервис.

В качестве основы для формирования виртуальных окружений может применяться (https://www.qubes-os.org/doc/Templates/) пакетная база Fedora и Debian, также сообществом поддерживаются шаблоны для Whonix, Ubuntu и Arch Linux. Пользовательская оболочка построена на основе KDE. Когда пользователь запускает из меню KDE приложение, это приложение стартует в определенной виртуальной машине. Содержание виртуальных окружений определяется набором шаблонов. В каждом виртуальном окружении приложения запускается отдельный X-сервер, упрощённый оконный менеджер и видеодрайвер-заглушка, транслирующий вывод в управляющее окружение в композитном режиме.

Основные новшества (https://www.qubes-os.org/doc/releases/3.2/release-notes/):

-  По умолчанию предложен рабочий стол Xfce, который теперь предлагается вместо KDE. В качестве опции предложены KDE 5 и мозаичные оконные менеджеры awesome и i3. Из причин перехода на  Xfce упоминаются (https://github.com/QubesOS/qubes-issues/issues/2119) низкий уровень стабильности (частые крахи plasma/kwin), тяжеловесность, высокое потребление ресурсов, низкая скорость работы, перегруженность интерфейса и неоднородность при отображении приложений на GTK+. В Qubes 4.0 использование Xfce4 будет продолжено, но будет проведён эксперимент по портированию GNOME, от успехов которого будет зависеть выбор окружения в дальнейших релизах Qubes.

-  В управляющем стеке Salt появилась поддержка (https://www.qubes-os.org/doc/salt/) автоматизированной  настройки содержимого виртуальных машин. Если ранее Salt был ограничен настройкой Dom0 и мог манипулировать готовыми образами виртуальных машин, то теперь он может выполнять работу по созданию и настройке начинки виртуальных машин;
-  Возможность проброса (https://www.qubes-os.org/doc/usb/) USB-устройств к виртуальным машинам, например можно закрепить за определённой виртуальной машиной  web-камеру и организовать работу AppVM со Skype;

-  Увеличена гибкость механизма Qrexec, который позволяет выполнять команды в контексте заданных виртуальных окружений. Правила Qrexec теперь могут учитывать не только сами сервисы, но и параметры обращения к ним. Например, можно не только разрешить присоединение  USB-устройств, но и определить какое какое именно устройство можно использовать;
-  Системное окружение Dom0 обновлено до выпуска Fedora 23. В системе задействовано ядро Linux 4.4.

URL: https://www.qubes-os.org/news/2016/09/29/qubes-32/
Новость: http://www.opennet.dev/opennews/art.shtml?num=45243

• Доступна ОС Qubes 3.2, использующей виртуализацию для изоляц...,Орк, 20:10 , 29-Сен-16
  • Доступна ОС Qubes 3.2, использующей виртуализацию для изоляц...,Аноним, 20:18 , 29-Сен-16
    • Доступна ОС Qubes 3.2, использующей виртуализацию для изоляц...,Ape, 20:30 , 29-Сен-16
      • Доступна ОС Qubes 3.2, использующей виртуализацию для изоляц...,junior_coder, 20:52 , 30-Сен-16
      • Доступна ОС Qubes 3.2, использующей виртуализацию для изоляц...,sage, 23:40 , 30-Сен-16
    • Доступна ОС Qubes 3.2, использующей виртуализацию для изоляц...,Аноним, 20:31 , 29-Сен-16
      • Доступна ОС Qubes 3.2, использующей виртуализацию для изоляц...,Аноним, 22:43 , 29-Сен-16
        • Доступна ОС Qubes 3.2, использующей виртуализацию для изоляц...,Аноним, 10:50 , 30-Сен-16
          • Доступна ОС Qubes 3.2, использующей виртуализацию для изоляц...,Led, 02:51 , 05-Окт-16
      • Доступна ОС Qubes 3.2, использующей виртуализацию для изоляц...,Это я, 06:28 , 30-Сен-16
      • Доступна ОС Qubes 3.2, использующей виртуализацию для изоляц...,Аноним, 06:49 , 30-Сен-16
  • Доступна ОС Qubes 3.2, использующей виртуализацию для изоляц...,marks, 21:11 , 29-Сен-16
  • Доступна ОС Qubes 3.2, использующей виртуализацию для изоляц...,Аноним, 10:55 , 30-Сен-16
    • Доступна ОС Qubes 3.2, использующей виртуализацию для изоляц...,Орк, 20:57 , 30-Сен-16
• Доступна ОС Qubes 3.2, использующей виртуализацию для изоляц...,АнонимХ, 20:43 , 29-Сен-16
  • Доступна ОС Qubes 3.2, использующей виртуализацию для изоляц...,Ergil, 21:14 , 29-Сен-16
    • Доступна ОС Qubes 3.2, использующей виртуализацию для изоляц...,Led, 22:04 , 29-Сен-16
• Доступна ОС Qubes 3.2, использующей виртуализацию для изоляц...,Дуплик, 00:25 , 30-Сен-16
  • Доступна ОС Qubes 3.2, использующей виртуализацию для изоляц...,Это я, 06:30 , 30-Сен-16
• Доступна ОС Qubes 3.2, использующей виртуализацию для изоляц...,анонимоус, 03:59 , 30-Сен-16
• Доступна ОС Qubes 3.2, использующей виртуализацию для изоляц...,Аноним, 06:49 , 30-Сен-16
  • Доступна ОС Qubes 3.2, использующей виртуализацию для изоляц...,anonymous, 18:16 , 30-Сен-16
• Доступна ОС Qubes 3.2, использующей виртуализацию для изоляц...,Sluggard, 06:55 , 30-Сен-16
  • Доступна ОС Qubes 3.2, использующей виртуализацию для изоляц...,Аноним, 14:40 , 30-Сен-16
    • Доступна ОС Qubes 3.2, использующей виртуализацию для изоляц...,Sluggard, 14:57 , 30-Сен-16
• Доступна ОС Qubes 3.2, использующей виртуализацию для изоляц...,Sunderland93, 07:12 , 30-Сен-16
  • Доступна ОС Qubes 3.2, использующей виртуализацию для изоляц...,Аноним, 07:42 , 30-Сен-16
  • Доступна ОС Qubes 3.2, использующей виртуализацию для изоляц...,КО, 10:01 , 30-Сен-16
    • Доступна ОС Qubes 3.2, использующей виртуализацию для изоляц...,Sunderland93, 12:43 , 30-Сен-16
  • Доступна ОС Qubes 3.2, использующей виртуализацию для изоляц...,marks, 11:11 , 30-Сен-16
    • Доступна ОС Qubes 3.2, использующей виртуализацию для изоляц...,Sunderland93, 12:44 , 30-Сен-16
      • Доступна ОС Qubes 3.2, использующей виртуализацию для изоляц...,marks, 12:56 , 30-Сен-16
      • Доступна ОС Qubes 3.2, использующей виртуализацию для изоляц...,Sluggard, 14:20 , 30-Сен-16
        • Доступна ОС Qubes 3.2, использующей виртуализацию для изоляц...,marks, 19:22 , 30-Сен-16
          • Доступна ОС Qubes 3.2, использующей виртуализацию для изоляц...,Sluggard, 19:27 , 30-Сен-16
• Доступна ОС Qubes 3.2, использующей виртуализацию для изоляц...,Аноним, 10:46 , 30-Сен-16
• Доступна ОС Qubes 3.2, использующей виртуализацию для изоляц...,robux, 12:40 , 30-Сен-16
  • Доступна ОС Qubes 3.2, использующей виртуализацию для изоляц...,Kodir, 13:06 , 30-Сен-16
    • Доступна ОС Qubes 3.2, использующей виртуализацию для изоляц...,J.L., 18:42 , 16-Ноя-16
• Доступна ОС Qubes 3.2, использующей виртуализацию для изоляц...,Kodir, 13:05 , 30-Сен-16
  • Доступна ОС Qubes 3.2, использующей виртуализацию для изоляц...,ANONYM, 13:40 , 30-Сен-16
  • Доступна ОС Qubes 3.2, использующей виртуализацию для изоляц...,Andrey Mitrofanov, 13:49 , 30-Сен-16
• Доступна ОС Qubes 3.2, использующей виртуализацию для изоляц...,Аноним, 14:34 , 30-Сен-16
  • Доступна ОС Qubes 3.2, использующей виртуализацию для изоляц...,Andrey Mitrofanov, 14:36 , 30-Сен-16
  • Доступна ОС Qubes 3.2, использующей виртуализацию для изоляц...,Онаним, 17:27 , 30-Сен-16
    • Доступна ОС Qubes 3.2, использующей виртуализацию для изоляц...,Онаним, 17:30 , 30-Сен-16
• Доступна ОС Qubes 3.2, использующей виртуализацию для изоляц...,Онаним, 17:26 , 30-Сен-16
  • Доступна ОС Qubes 3.2, использующей виртуализацию для изоляц...,anonymous, 18:19 , 30-Сен-16
• Доступна ОС Qubes 3.2, использующей виртуализацию для изоляц...,Аноним, 14:05 , 01-Окт-16
  • Доступна ОС Qubes 3.2, использующей виртуализацию для изоляц...,J.L., 18:46 , 16-Ноя-16
• Доступна ОС Qubes 3.2, использующей виртуализацию для изоляц...,Kir, 10:37 , 06-Окт-16

>Для работы необходима система с 4 Гб ОЗУ
>KDE ... тяжеловесность, высокое потребление ресурсов, низкая скорость работы

У меня всё.

а что не так? кеды у меня стабильно за гиг оперативы ели. крысятине хватает до 600мб

У тебя кеды не по размеру. Носи свои и будет удобно. У меня на старте KDE5 отжирают не более 500М при загрузке всего пользовательского окружения и рабочего стола.

пол гига на свистелки и перделки, у меня столько браузер ест, с полезным контентом...

При старте. А потом baloo_file разрастается до 750MB RSS :(

>а что не так?

Да он просто комп не апгрейдил с нулевых и не в курсе, что сейчас на десктопе норма 8-16 ГБ. Тут таких много, не обращайте внимания.

> Да он просто комп не апгрейдил с нулевых и не в курсе, что сейчас на десктопе норма 8-16 ГБ. Тут таких много, не обращайте внимания.

Людей тоже разрешите убивать просто потому, что их уже за 7 млрд?

Лучше ограничить дальнейшее размножение. Пример - программа Китая от 1979 г.

> Лучше ограничить дальнейшее размножение. Пример - программа Китая от 1979 г.

Это благодаря этой "программе" население Китая удвоилось "от 1979 г."?

Неэкологично рассуждаете. Тупость про то, что железо нынче жешевле рабочей силы - просто тупость, т.к. ей можно обосновать необоснованность создания технологий экономии.

> сейчас на десктопе норма 8-16 ГБ

Значит я застрял в нулевых? Ок. Видимо Аноним знает что мне нужно лучше меня.

Я тоже не понимал еще с первых релизов, зачем им вообще нужны эти кеды. Хотя это не отменяет того, что эти 4 гигабайта нужны для виртуализации в основном.

>У меня всё.

Преждевременное извержение?

Непреждевременное опорожнение в комментариях ?

Скептически относился к этому проекту. Но видя, как упорно оно пилится - желаю ему еще большего развития.

Ну MS вон на днях заявили, что они начинают косить под Qubes и будут запускать свой Edge в отдельной виртуалке. Не зря Джоанна все эти годы пилит, если у нее идеи ворует MS, они умеют воровать лучшее(и воплощать через жопу, но это уже вопрос к воплощению).

> и воплощать через жопу

Ты M$ с Apple'ом не путай: Apple воплощает через то, что ты сказал, а вендузятники нею думают.

Это хорошо, что они спрыгнули с KDE. Теперь у этой OS хотя бы будут пользователи.

И отлично так посрамили KDE'шников в глазах общественности. Это же надо, с момента выхода протоплазмы прошло почти 10 лет, а у них до сих пор:

>частые крахи plasma/kwin

Она не падает, она так спит (с) почти Симпсоны про мертвых кроликов

> теперь предлагается вместо KDE

Спасение близко, как никогда!

изоляция это ведь круче, чем думать как писать приложение, чтобы оно не было дырявым, да?

здесь как раз за всех и подумали

> низкий уровень стабильности (частые крахи plasma/kwin)

Пусть кубунтушников попросят им KDE собирать, если сами рукожопят, или сусевцев, что ли. Частые крахи у них...

кубунту не стабильно его собирает, сусовцы да нормально. но все равно при их задачах КДЕ не подходит по ресурсам просто. да и вообще современные кеды и гнум не торт на слабом железе.

Да я ещё в прошлой новости удивлялся, зачем брать здоровенное DE (а то и вообще DE, а не просто WM с панелькой) в ОС, которая и так жрёт, как не в себя. Видимо, у Йоанны какая-то своя логика.

>>Из причин перехода на Xfce упоминаются низкий уровень стабильности (частые крахи plasma/kwin)
>>тяжеловесность, высокое потребление ресурсов, низкая скорость работы
>>Для работы необходима система с 4 Гб ОЗУ и 64-разрядным CPU Intel или AMD

Мля, это даже не смешно. То, что их толстжопой ОС нужно аж 4 гига рамы - это норм, а то что KDE изволит откушать 500 дополнительных метров (на самом деле меньше, если ненужные сервисы, типа Akonadi вырубить) - это трагедия. Если так трясутся на потребление ресурсов - чо своё DE не замутили? Какой-нибудь Openbox + tint2 + lxsession было бы достаточно. А иначе просто тупо.
>>но будет проведён эксперимент по портированию GNOME

Общеизвестный факт, что GNOME жрёт БОЛЬШЕ чем KDE, как оперативной, так и видеопамяти. А также имеет неотрубаемый композитинг. Вообще не понимаю логики этой бабы.

Маня, твоей толстожопой ос нужно 16 гб рамы, виндовсапдейт загибается каждый месяц, а поддержка оборудования скоро станет хуже чем в ныне глючном линуксе.

>>а то что KDE изволит откушать 500 дополнительных метров

добавь слова - для каждой виртуалочки.
И ты поймешь в чем смысл комедии, когда на каждое приложение своя виртуалка. :)

Там для каждого приложения свои Кеды запускались?

> Общеизвестный факт, что GNOME жрёт БОЛЬШЕ чем KDE, как оперативной,

Тебе общеизвестный? Кеды жрут порядка 300 метров больше.

>> Общеизвестный факт, что GNOME жрёт БОЛЬШЕ чем KDE, как оперативной,
> Тебе общеизвестный? Кеды жрут порядка 300 метров больше.

Всем, кто юзает KDE, а не кукарекает на форумах о его жручести и тормозах.

Лол. Ну погугли объективные сравнения жручести, а не кукарекай на форумах о нежручести кед.

Не ври, а. Я KDE юзаю, и я понятия не имею, больше или меньше ест GNOME, просто потому, что как раз его я не использую, и сравнить не могу.
А потом будут говорить, что все кедерасты эти самые... нечестные и необъективные. (

Ну вот, а я читал. Даже где-то тут мелькало сравнение, если я ничего не путаю.

> Ну вот, а я читал. Даже где-то тут мелькало сравнение, если я
> ничего не путаю.

Я искренне рад за тебя. Хотя во всяких тестах и замерах неплохо бы знать, как они проводились.
Просто отвечал юзеру выше, который заявил, что, мол, каждый пользователь KDE что-то там знает. Это упорин какой-то, не обращай на него внимание.

>неоднородность при отображении приложений на GTK+

А при отображении в XFCE приложений на Qt, конечно же, будет однородность, ага.

> использования гипервизора для строгой изоляции приложений

Теперь осталось придумать как изолировать АНБшные бэкдоры в самом гипервизоре, северном мосту и прошивке винтов - и дело в шляпе! Всего-то навсего!

Эльбрус же!

> Эльбрус же!

виртуальный эльбрус на интельском проце и будет норм
сквозных "технических отверстий" не будет

Эта Рутковская настолько тупая, что не понимает - не в контейнерах проблема?!
Изоляция, слава интелу, уже есть начиная с 80386. С 64-битным режимом стало чуть проще - там flat модель. Так что ИЗОЛЯЦИЯ ЕСТЬ. Другой вопрос, что принципиально невозможно ограничить вирус, если есть необходимость обмена данными!

Сколько Ворд не ограничивай, но если его заразить входящим документом, ты инфицируешь и всё остальное, что в нём создаешь (и раздаёшь). И право на запись не отнимешь! Об этом Рутковская не думала?

Короче, команда "распила" мелкомягкого бабла работает.

Это ты не врубаешься. Главное в Qubes это разграничение доступа к данным буферу обмена и устройствам ввода. Qubes преодолевает классическую проблему иксов, что ввод может быть перехвачен любым приложением. Как и проблему доступа к данным, когда у тебя приложение получает доступ только к тому, что ты разрешаешь.

> Сколько Ворд не ограничивай, но если его заразить входящим документом, ты инфицируешь и всё остальное, что в нём создаешь (и раздаёшь). И право на запись не отнимешь! Об этом Рутковская не думала?

AppVM можно сносить хоть регулярно, в целях профилактики. TemplateVM это не затронет.

> Эта Рутковская настолько тупая, что не понимает - не в контейнерах проблема?!

Те ругайся, не у себя дома. Мадам работает.

> Изоляция, слава интелу, уже есть начиная с 80386. С 64-битным режимом стало

Изоляции (говоря в этом контексте) должно быть столько, чтоб кракерам было вломы связываться. И к 386, и к "64-битным" они попринюхались, а вот рутковская инквизиция https://outflux.net/slides/2016/lss/kspp.pdf ещё внове -- надежды юношей питают. И, заметьте, со временем защиты становится меньше -- относительно "принюханности" кракеорв. Та чтааа циркус приехал, чтобы остаться.

> Короче, команда "распила" мелкомягкого бабла работает.

Счеговдруг?

"В качестве одного из способов защиты системы корпорация Microsoft внедрила в в 64-битную версию своей системы механизм блокировки неподписанного кода (то есть не имеющего цифровой подписи). Однако, Йоанна нашла возможность обхода этой проверки."

лучше бы они отказались от тяжеловесных вариантов ДЕ и gnome постигла та же участь, что и кеды.

> лучше бы они отказались от тяжеловесных вариантов ДЕ и gnome постигла та
> же участь, что и кеды.

Согласен! Реплитоиды совсем бех мозгов.

GNOME 3 на ПК вообще не нужен, я считаю. Честно поставил, попробовал привыкнуть - хрень, для планшетов пойдёт, но на компе нахрен.

Это я вам говорю как человек, который и Unity любит, и XFCE, и в KDE не видит никаких проблем (кроме вылетаний местами), но GNOME3 - таки бред.

А можно то же самое, только на Docker?

> А можно то же самое, только на Docker?

Вам именно чтобы дырявым было?

Создать безопасную систему и запустить там Skype - занятно.

> Создать безопасную систему и запустить там Skype - занятно.

именно для этого - чтоб скайп сам за собой там и наблюдал сидя в одиночестве в комнате с мягкими стенками и ни за кем больше подглядывать не мог

Так для серверов же