AA_123rf_13780197_Gartenweg_Maciej_Maksymowic.jpg

© Maciej Maksymowic, 123RF

Qubes OS setzt auf Sicherheit durch Xen-Virtualisierung

Sauber getrennt

Qubes OS trennt Anwendungen in durch Xen bereitgestellten virtuellen Maschinen voneinander. So entstehen abgeschottete Sicherheitszonen.

Nicht erst seit dem Bekanntwerden des NSA-Skandals ist es sinnvoll, Daten auf Rechnern mit Netzzugang zu schützen. In LU 09/2014 haben wir Whonix [1] vorgestellt, das mit zwei getrennten virtuellen Maschinen und dem Einsatz von Tor Sicherheit aufbaut. Diesmal schauen wir hinter die Kulissen von Qubes OS [2], das mit etwas weniger Aufwand und Xen [3] als Hypervisor eine erhöhte Sicherheit für Anwendungen verspricht.

Die seit 2012 entwickelte Distribution geht dabei eigene Wege: Virtuelle Maschinen (VM) erweitern ein minimales Gastsystem, das derzeit auf Fedora 20 basiert und als GUI sowohl KDE als auch XFCE mitbringt, aber über keinen Netzzugang verfügt.

Die VMs basieren auf dem Hypervisor Xen. Das ganze System stammt aus der Firma "The Invisible Things Lab" der polnischen Sicherheits-Forscherin Joanna Rutkowska. Die VMs trennen Applikationen voneinander, wobei verschiedene Sicherheitslevel zum Einsatz kommen (Abbildung 1), nach dem Prinzip "Sicherheit durch Isolation" [4].

Abbildung 1: Die einfachste Übung in Inkscape hilft dabei, die Ideen hinter den Splines und Tangenten zu verstehen. Die blauen Linien sind die Tangenten.

Rutkowska weiß, wovon sie spricht, stammt aus ihren Händen doch auch Bluepill [5], ein Rootkit, das vom Gastsystem aus einen Hypervisor angreift. Möchten Sie zusätzlich Tor in Qubes OS einbinden, dann sollten Sie einen Tor-Proxy in eine Netzwerk-Adapter-VM sperren, wie es Rutkowska in ihrem Blog beschreibt [6].

In weiteren, unprivilegierten Domänen – bei Qubes heißen sie AppVMs – laufen jeweils eine oder mehrere Anwendungen. Nach der Installation finden Sie bereits einige entsprechend vordefinierte Container vor. Darunter zählen neben der dom0, die dem einzigen Benutzer mit allen nötigen Rechten eine Heimstatt bietet (Qubes ist aus Sicherheitsgründen als Einbenutzersystem ausgelegt), unter anderem auch die AppVMs Work, Personal, Banking.

Farben kennzeichnen die jeweils eingestellte Sicherheitsstufe der einzelnen AppVMs, wobei Rot die höchste Stufe repräsentiert. Die derzeit aktuelle Version von September trägt die Release-Nummer R2 und ermöglicht, neben kompletten Distributionen auch Windows 7 in eine AppVM zu sperren. Allerdings hat Rutkowska die App-VMs eher für Anwendungen konzipiert als für ganze Betriebssysteme.

Passende Hardware

In der Praxis erweist sich Qubes als recht kritisch, was den Hardware-Unterbau angeht. Daher sollten Sie vor der Installation die Hardware-Check-Liste [7] zurate ziehen: Sie bietet unter Umständen Tipps, die viel Zeit sparen. Im Test erwies sich etwas ältere Hardware als eher geeignet, um mit Qubes zu kooperieren. Ein etwas älterer Kernel hilft ebenfalls, falls die Installation gar nicht erst gelingt oder das System nicht rund läuft. Dazu wählen Sie vor der Installation aus dem Bootmenü den Punkt Troubleshooting und dort einen der angebotenen Kernel (Abbildung 2).

Abbildung 2: Ein simples Bild eines Apfels lässt sich in Inkscape als Vorlage verwenden.

Qubes erwartet einen versierten Anwender. Es empfiehlt sich, vorher ausgiebig auf der Webseite zu stöbern. Da erfahren Sie unter anderem, dass Qubes sich nicht oder nur mit großen Schwierigkeiten für eine Installation in einer weiteren virtuellen Umgebung wie Virtualbox oder KVM eignet.

Installation

Qubes ist kein Live-System. Der Installer startet nach dem Hochfahren automatisch und fragt neben Sprache und Zeitzone hauptsächlich die Angaben in Bezug auf die Partitionen ab. Hier taten sich im Test Hürden auf, da die Software die Informationen nicht immer korrekt einlas. Am einfachsten bieten Sie Qubes eine vorbereitete leere Partition an, die Sie über die Option custom partitioning auswählen.

Haben Sie die Installation angestoßen, benötigt das Kopieren und Einrichten der rund 3 GByte großen ISO-Datei, die von DVD oder von einem USB-Stick kommen darf, auf moderner Hardware rund eine halbe Stunde, auf älteren PCs zwei bis drei Stunden.

Standardmäßig verschlüsselt Qubes die Systempartition mittels LUKS, was sich jedoch über die entsprechende Option abwählen lässt. Zudem bietet das Setup eine Installation mittels LVM oder Thin Provisioning als Option an. Es empfiehlt sich, für die Installation und die ersten Schritte eine Internetverbindung via Kabel zu wählen, da nur gängige WLAN-Treiber beiliegen und der Installer keine Möglichkeit bietet, weitere nachträglich zu installieren.

Diesen Artikel als PDF kaufen

Express-Kauf als PDF

Umfang: 5 Heftseiten

Preis € 0,99
(inkl. 19% MwSt.)

LinuxCommunity kaufen

Einzelne Ausgabe
 
Abonnements
 
TABLET & SMARTPHONE APPS
Bald erhältlich
Get it on Google Play

Deutschland

Ähnliche Artikel

  • Qubes OS verbessert USB-Unterstützung und nutzt Xfce
    Die Distribution Qubes OS basiert auf Fedora, sperrt aber die Anwendungen jeweils in virtuelle Maschinen. Dies soll vor allem die Sicherheit erhöhen. Die neue Version 3.2 von Qubes OS verbessert vor allem zahlreiche Details.
  • Qubes OS: Sehr sicheres Linux-System auf Fedora-Basis
    Das von der polnischen Sicherheitsexpertin Joanna Rutkowska geleitete Invisible Things Lab hat eine auf Fedora und Xen basierte Linux-Distibution vorgestellt, die Anwendungen in separaten virtuellen Maschinen ausführt.
  • Mehrfach gesichert
    Subgraph OS will umfassende Sicherheit für nicht technikaffine Anwender realisieren. Schon die jetzt vorliegende Alpha-Version macht neugierig auf mehr.
  • Qubes R3.1 veröffentlicht
    Die Distribution Qubes erhöht die Sicherheit, indem sie Anwendungen in einzelne virtuelle Maschinen sperrt. Jetzt haben die Entwickler die Version R3.1 freigegeben, die zusätzliche Hardwarekomponenten unterstützt und für Anwender ein paar interessante Neuerungen bereithält.
  • Das Spiel zum Wochenende: Q.U.B.E: Director’s Cut
    Das sieht aus wie Portal! Zugegeben, das Denkspiel von Toxic Games ähnelt auf Fotos dem legendären 3D-Puzzle-Platformer. Es weiß aber mit einem ganz eigenen Spielprinzip zu überzeugen, das die kleinen grauen Zellen ordentlich zum Rauchen bringt.
Kommentare
Probleme mit USB-Ethernet Adapter, Surfsticks, Mobile Broadband
GepPetto (unangemeldet), Donnerstag, 26. Februar 2015 20:48:12
Ein/Ausklappen

Wir testen Qubes OS R2 derzeit sehr intensiv für den Einsatz in unserem Unternehmen. Ziel ist es, auf einem Client div. VM's für drei unterschiedliche Netz zur Verfügung zu stellen. Zudem soll auch eine mobile Verbindung möglich sein. Das OS macht einen sehr professionellen Eindruck, die Konfiguration und Bedienung ist für den versierten Linux-User keine große Herausforderung. Auch das "App" Portfolio ist bereits fast ausreichen. Einen Wermutstropfen hat das OS aber doch. Leider lassen sich USB-Ethernet Adapter, Surfsticks, 3G Module usw. nicht separat einer VM zugewiesen werden. Es kann immer nur der gesamt USB Bus der VM übergeben werden.



Bewertung: 235 Punkte bei 71 Stimmen.
Den Beitrag bewerten: Gut / Schlecht

Infos zur Publikation

LU 12/2017: Perfekte Videos

Digitale Ausgabe: Preis € 5,95
(inkl. 19% MwSt.)

LinuxUser erscheint monatlich und kostet 5,95 Euro (mit DVD 8,50 Euro). Weitere Infos zum Heft finden Sie auf der Homepage.

Das Jahresabo kostet ab 86,70 Euro. Details dazu finden Sie im Computec-Shop. Im Probeabo erhalten Sie zudem drei Ausgaben zum reduzierten Preis.

Bei Google Play finden Sie digitale Ausgaben für Tablet & Smartphone.

HINWEIS ZU PAYPAL: Die Zahlung ist ohne eigenes Paypal-Konto ganz einfach per Kreditkarte oder Lastschrift möglich!

Stellenmarkt

Aktuelle Fragen

Huawei
Pit Hampelmann, 13.12.2017 11:35, 2 Antworten
Welches Smartphone ist für euch momentan das beste? Sehe ja die Huawei gerade ganz weit vorne. Bi...
Fernstudium Informatik
Joe Cole, 12.12.2017 10:36, 2 Antworten
Hallo! habe früher als ich 13 Jahre angefangen mit HTML und später Java zu programmieren. Weit...
Installation Linux mint auf stick
Reiner Schulz, 10.12.2017 17:34, 3 Antworten
Hallo, ich hab ein ISO-image mit Linux Mint auf einem Stick untergebracht Jetzt kann ich auch...
Canon Maxify 2750 oder ähnlicher Drucker
Hannes Richert, 05.12.2017 20:14, 4 Antworten
Hallo, leider hat Canon mich weiterverwiesen, weil sie Linux nicht supporten.. deshalb hier die...
Ubuntu Server
Steffen Seidler, 05.12.2017 12:10, 1 Antworten
Hallo! Hat jemand eine gute Anleitung für mich, wie ich Ubuntu Server einrichte? Habe bisher...