• IT-Karriere:
  • Services:

Qubes OS angeschaut: Abschottung bringt mehr Sicherheit

Anwendungen wie der Browser laufen in Qubes OS in isolierten Containern. So soll die Sicherheit erhöht werden. Das Betriebssystem nutzt dabei die Virtualisierung.

Artikel veröffentlicht am ,
Qubes OS sorgt durch Virtualisierung für ein sicheres System.
Qubes OS sorgt durch Virtualisierung für ein sicheres System. (Bild: Screenshot: Golem.de)

Qubes OS soll für mehr Sicherheit sorgen. Das Linux-basierte Betriebssystem nutzt dafür die Virtualisierung, um Anwendungen in speziell voneinander isolierten Containern zu starten. Auf das Basissystem können die Anwendungen nur lesend zugreifen, und sie lassen sich durch eine Firewall auch im Netzwerk absichern. Selbst Windows 7 lässt sich in der aktuellen Version R2 von Qubes OS starten. Wir haben sie uns angesehen.

  • Die Benutzeroberfläche von Qubes nach dem ersten Start (Screenshots: Golem.de)
  • Je nach Farbgebung starten Anwendungen in sicheren oder weniger sicheren VMs.
  • Selbst Windows lässt sich in Qubes R2 installieren und nutzen.
  • Eine spezielle Domain wird nach der Nutzung sofort wieder gelöscht.
  • Jede Domain lässt sich individuell konfigurieren, etwa mit eigenen Firewall-Einstellungen.
  • Auch der Speicherbedarf lässt sich erhöhen.
  • Der zugewiesene Arbeitsspeicher sowie die Anzahl der nutzbaren CPUs lässt sich ebenfalls bestimmen.
  • Über eine Liste lässt sich festlegen, welche Anwendungen in einer bestimmten Domain gestartet werden dürfen.
  • Sie tauchen dann im Startmenü der entsprechenden Domain auf.
  • Dann lässt sich beispielsweise Libreoffice nutzen.
  • Dem Kopieren von Dateien zwischen Domains muss zugestimmt werden.
Die Benutzeroberfläche von Qubes nach dem ersten Start (Screenshots: Golem.de)
Inhalt:
  1. Qubes OS angeschaut: Abschottung bringt mehr Sicherheit
  2. Geschützt durch Firewalls
  3. Kräftige Hardware benötigt

Die Einrichtung von Qubes erfolgt über Fedoras Anaconda. Benötigt wird neben der Swap-Datei, auf der alle Linux-Systeme Daten aus dem Arbeitsspeicher auslagern und im Suspend-Modus ein Abbild des RAMs speichern, eine Boot-Partition, die den Linux-Kernel und weitere Dateien für den Systemstart enthält. Die Systempartition wird von Qubes standardmäßig mit LUKS verschlüsselt. Ansonsten unterscheidet sich die Installation nicht von der unter Fedora.

Nur für einen Benutzer

Nach einem Neustart erfolgt zunächst die Eingabe des Passworts für die verschlüsselte Partition. Danach müssen die Lizenzbestimmungen akzeptiert werden. Anschließend muss noch der einzige Benutzer eingerichtet werden, der in Qubes benötigt wird. Qubes ist nicht als Mehrbenutzersystem konzipiert, ein einziger Anwender verwaltet das System in der Xen-Domain Dom0. Damit erhält er sämtliche Rechte. Deshalb sind weitere Benutzer ein Risiko, denn auch sie müssten die gleichen Rechte erhalten.

Dieser einzige Benutzer sichert sein Qubes-System ab, indem er einzelne Anwendungen in leichtgewichtigen virtuellen Maschinen startet, die mit mehr oder weniger Rechten ausgestattet sind. Sie werden als Domain mit eindeutigem Namen oder AppVM bezeichnet, in der auch nur eine einzige Anwendung laufen kann.

Vertrauenswürdig oder nicht vertrauenswürdig

Stellenmarkt
  1. Leopold Kostal GmbH & Co. KG, Lüdenscheid
  2. über duerenhoff GmbH, Heidelberg

Im Startmenü der beiden Desktops KDE-Plasma und Xfce, die automatisch mit Qubes installiert werden, finden sich keine einzelnen Anwendungen, sondern vorinstallierte Domains, etwa Work, Personal Banking, Untrusted oder Disposable. Ihnen sind Schlosssymbole zugewiesen, je nach Sicherheitsstufe in Grün, Gelb oder Rot. Letztendlich ist jede Domain ein eigenes Betriebssystem, das die benötigten Bibliotheken und Anwendungen aus dem Basissystem nutzt. Jede Domain wird auf Basis einer Vorlage oder sogenannten TemplateVM erstellt. Dabei kann das Basissystem durch Benutzeraktionen in den einzelnen Domains aber nicht verändert werden und behält so seine Datenintegrität. Aktive Domains werden im Qubes VM Manager dargestellt, der stets in einem Fenster auf dem Desktop angezeigt wird. Er dient auch der Verwaltung der Domains.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
Geschützt durch Firewalls 
  1. 1
  2. 2
  3. 3
  4.  


Anzeige
Top-Angebote
  1. (u. a. be quiet! Dark Base Pro 900 Rev. 2 für 179,90€ + 6,99€ Versand statt 219,99€ inkl...
  2. (u. a. Golf With Your Friends für 7,29€, Predator - Hunting Grounds für 28,99€, Assassin's...
  3. 69,99€ (Release 18.06.)
  4. 79,99€ (Release 18.06.)

ShalokShalom 08. Nov 2015

sondern ein Xen basiertes mit Support für Linux Gäste.

drasojem 09. Dez 2014

Dagegen hilft nur Verschlüsselung. Das ist ja nichts anderes als irgendein...

drasojem 08. Dez 2014

Was ändert das an der Tatsache das ein präperiertes USB-Gerät einen Bug im USB...

drasojem 01. Dez 2014

Tatsächlich nutzen die meisten Qubes user notebooks die meist ihre Tatatur per ps2...

Hotohori 22. Okt 2014

Welche man aber sicherlich deutlich schwerer zu manipulieren machen kann, wenn sie derart...


Folgen Sie uns
       


Gopro Hero 9 Black - Test

Ist eine Kamera mit zwei Displays auch doppelt so gut?

Gopro Hero 9 Black - Test Video aufrufen
Programm für IT-Jobeinstieg: Hoffen auf den Klebeeffekt
Programm für IT-Jobeinstieg
Hoffen auf den Klebeeffekt

Aktuell ist der Jobeinstieg für junge Ingenieure und Informatiker schwer. Um ihnen zu helfen, hat das Land Baden-Württemberg eine interessante Idee: Es macht sich selbst zur Zeitarbeitsfirma.
Ein Bericht von Peter Ilg

  1. Arbeitszeit Das Sechs-Stunden-Experiment bei Sipgate
  2. Neuorientierung im IT-Job Endlich mal machen!
  3. IT-Unternehmen Die richtige Software für ein Projekt finden

Weclapp-CTO Ertan Özdil: Wir dürfen nicht in Schönheit und Perfektion untergehen!
Weclapp-CTO Ertan Özdil
"Wir dürfen nicht in Schönheit und Perfektion untergehen!"

Der CTO von Weclapp träumt von smarter Software, die menschliches Eingreifen in der nächsten ERP-Generation reduziert. Deutschen Perfektionismus hält Ertan Özdil aber für gefährlich.
Ein Interview von Maja Hoock


    Fiat 500 als E-Auto im Test: Kleinstwagen mit großem Potenzial
    Fiat 500 als E-Auto im Test
    Kleinstwagen mit großem Potenzial

    Fiat hat einen neuen 500er entwickelt. Der Kleine fährt elektrisch - und zwar richtig gut.
    Ein Test von Peter Ilg

    1. Vierradlenkung Elektrischer GMC Hummer SUV fährt im Krabbengang seitwärts
    2. MG Cyberster MG B Roadster mit Lasergürtel und Union Jack
    3. Elektroauto E-Auto-Prämie übersteigt in 2021 schon Vorjahressumme

      •  /