Abo
  • Services:

Qubes OS angeschaut: Abschottung bringt mehr Sicherheit

Anwendungen wie der Browser laufen in Qubes OS in isolierten Containern. So soll die Sicherheit erhöht werden. Das Betriebssystem nutzt dabei die Virtualisierung.

Artikel veröffentlicht am ,
Qubes OS sorgt durch Virtualisierung für ein sicheres System.
Qubes OS sorgt durch Virtualisierung für ein sicheres System. (Bild: Screenshot: Golem.de)

Qubes OS soll für mehr Sicherheit sorgen. Das Linux-basierte Betriebssystem nutzt dafür die Virtualisierung, um Anwendungen in speziell voneinander isolierten Containern zu starten. Auf das Basissystem können die Anwendungen nur lesend zugreifen, und sie lassen sich durch eine Firewall auch im Netzwerk absichern. Selbst Windows 7 lässt sich in der aktuellen Version R2 von Qubes OS starten. Wir haben sie uns angesehen.

  • Die Benutzeroberfläche von Qubes nach dem ersten Start (Screenshots: Golem.de)
  • Je nach Farbgebung starten Anwendungen in sicheren oder weniger sicheren VMs.
  • Selbst Windows lässt sich in Qubes R2 installieren und nutzen.
  • Eine spezielle Domain wird nach der Nutzung sofort wieder gelöscht.
  • Jede Domain lässt sich individuell konfigurieren, etwa mit eigenen Firewall-Einstellungen.
  • Auch der Speicherbedarf lässt sich erhöhen.
  • Der zugewiesene Arbeitsspeicher sowie die Anzahl der nutzbaren CPUs lässt sich ebenfalls bestimmen.
  • Über eine Liste lässt sich festlegen, welche Anwendungen in einer bestimmten Domain gestartet werden dürfen.
  • Sie tauchen dann im Startmenü der entsprechenden Domain auf.
  • Dann lässt sich beispielsweise Libreoffice nutzen.
  • Dem Kopieren von Dateien zwischen Domains muss zugestimmt werden.
Die Benutzeroberfläche von Qubes nach dem ersten Start (Screenshots: Golem.de)
Inhalt:
  1. Qubes OS angeschaut: Abschottung bringt mehr Sicherheit
  2. Geschützt durch Firewalls
  3. Kräftige Hardware benötigt

Die Einrichtung von Qubes erfolgt über Fedoras Anaconda. Benötigt wird neben der Swap-Datei, auf der alle Linux-Systeme Daten aus dem Arbeitsspeicher auslagern und im Suspend-Modus ein Abbild des RAMs speichern, eine Boot-Partition, die den Linux-Kernel und weitere Dateien für den Systemstart enthält. Die Systempartition wird von Qubes standardmäßig mit LUKS verschlüsselt. Ansonsten unterscheidet sich die Installation nicht von der unter Fedora.

Nur für einen Benutzer

Nach einem Neustart erfolgt zunächst die Eingabe des Passworts für die verschlüsselte Partition. Danach müssen die Lizenzbestimmungen akzeptiert werden. Anschließend muss noch der einzige Benutzer eingerichtet werden, der in Qubes benötigt wird. Qubes ist nicht als Mehrbenutzersystem konzipiert, ein einziger Anwender verwaltet das System in der Xen-Domain Dom0. Damit erhält er sämtliche Rechte. Deshalb sind weitere Benutzer ein Risiko, denn auch sie müssten die gleichen Rechte erhalten.

Dieser einzige Benutzer sichert sein Qubes-System ab, indem er einzelne Anwendungen in leichtgewichtigen virtuellen Maschinen startet, die mit mehr oder weniger Rechten ausgestattet sind. Sie werden als Domain mit eindeutigem Namen oder AppVM bezeichnet, in der auch nur eine einzige Anwendung laufen kann.

Vertrauenswürdig oder nicht vertrauenswürdig

Stellenmarkt
  1. PFALZKOM | MANET, Ludwigshafen
  2. Lidl Digital, Neckarsulm

Im Startmenü der beiden Desktops KDE-Plasma und Xfce, die automatisch mit Qubes installiert werden, finden sich keine einzelnen Anwendungen, sondern vorinstallierte Domains, etwa Work, Personal Banking, Untrusted oder Disposable. Ihnen sind Schlosssymbole zugewiesen, je nach Sicherheitsstufe in Grün, Gelb oder Rot. Letztendlich ist jede Domain ein eigenes Betriebssystem, das die benötigten Bibliotheken und Anwendungen aus dem Basissystem nutzt. Jede Domain wird auf Basis einer Vorlage oder sogenannten TemplateVM erstellt. Dabei kann das Basissystem durch Benutzeraktionen in den einzelnen Domains aber nicht verändert werden und behält so seine Datenintegrität. Aktive Domains werden im Qubes VM Manager dargestellt, der stets in einem Fenster auf dem Desktop angezeigt wird. Er dient auch der Verwaltung der Domains.

Geschützt durch Firewalls 
  1. 1
  2. 2
  3. 3
  4.  


Anzeige
Spiele-Angebote
  1. (-31%) 23,99€
  2. 2,99€
  3. (-20%) 47,99€
  4. 59,99€ mit Vorbesteller-Preisgarantie

ShalokShalom 08. Nov 2015

sondern ein Xen basiertes mit Support für Linux Gäste.

drasojem 09. Dez 2014

Dagegen hilft nur Verschlüsselung. Das ist ja nichts anderes als irgendein...

drasojem 08. Dez 2014

Was ändert das an der Tatsache das ein präperiertes USB-Gerät einen Bug im USB...

drasojem 01. Dez 2014

Tatsächlich nutzen die meisten Qubes user notebooks die meist ihre Tatatur per ps2...

Hotohori 22. Okt 2014

Welche man aber sicherlich deutlich schwerer zu manipulieren machen kann, wenn sie derart...


Folgen Sie uns
       


Lenovo Moto G6 - Test

Bei einem Smartphone für 250 Euro müssen sich Käufer oft auf Kompromisse einstellen. Beim Moto G6 halten sie sich aber in Grenzen.

Lenovo Moto G6 - Test Video aufrufen
Automatisiertes Fahren: Der schwierige Weg in den selbstfahrenden Stau
Automatisiertes Fahren
Der schwierige Weg in den selbstfahrenden Stau

Der Staupilot im neuen Audi A8 soll der erste Schritt auf dem Weg zum hochautomatisierten Fahren sein. Doch die Verhandlungen darüber, was solche Autos können müssen, sind sehr kompliziert. Und die Tests stellen Audi vor große Herausforderungen.
Ein Bericht von Friedhelm Greis

  1. Nach tödlichem Unfall Uber entlässt 100 Testfahrer für autonome Autos
  2. Autonomes Fahren Daimler und Bosch testen fahrerlose Flotte im Silicon Valley
  3. Kooperationen vereinbart Deutschland setzt beim Auto der Zukunft auf China

Krankenversicherung: Der Papierkrieg geht weiter
Krankenversicherung
Der Papierkrieg geht weiter

Die Krankenversicherung der Zukunft wird digital und direkt, aber eine tiefgreifende Disruption des Gesundheitswesens à la Amazon wird in Deutschland wohl ausbleiben. Die Beharrungskräfte sind zu groß.
Eine Analyse von Daniel Fallenstein

  1. Imagen Tech KI-System Osteodetect erkennt Knochenbrüche
  2. Medizintechnik Implantat wird per Ultraschall programmiert
  3. Telemedizin Neue Patienten für die Onlinepraxis

Smartphone von Gigaset: Made in Bocholt
Smartphone von Gigaset
Made in Bocholt

Gigaset baut sein Smartphone GS185 in Bocholt - und verpasst dem Gerät trotz kompletter Anlieferung von Teilen aus China das Label "Made in Germany". Der Fokus auf die Region ist aber vorhanden, eine erweiterte Fertigung durchaus eine Option. Wir haben uns das Werk angeschaut.
Ein Bericht von Tobias Költzsch

  1. Bocholt Gigaset baut Smartphone in Deutschland

    •  /