Grunden för Qubes är att säkra både operativsystemsfunktioner och applikationer genom isolering. Man delar upp datorn i olika logiska delar, som var och en i grunden är en egen virtuell maskin. Tanken är att en applikation aldrig ska kunna förstöra någonting utanför sin egen ”låda”, eller säkerhetsdomän som de kallas.

Samtidigt finns det kontrollerade sätt att dela resurser mellan säkerhetsdomänerna, så man kan både utnyttja till exempel nätverkskopplingar från samtliga säkerhetsdomäner och dela filer mellan dem. Alla applikationer delar också samma synliga skrivbord.

Bygger på Xen-virtualisering

Qubes är byggt på virtualiseringsteknik Xen och Linux fördelat på virtuella maskiner. Det finns en enda inbyggd så kallad priviledged domain, en säkerhetsdomän med särskilda befogenheter, dom0. Den är till för att hantera skrivbordet, och för den administration som behövs för att skapa och hålla igång övriga domäner.

Gemensamma resurser, såsom nätverk, läggs i egna domäner utan särskilda befogenheter. Därmed kan de nyttjas från alla domäner.

Slutligen skapas applikationsdomäner, så många som användaren vill ha, och så kör man sina applikationer i domänerna.


Qubes är byggt på Xen och Linux fördelat på virtuella maskiner. Varje säkerhetsdomän får sin egen maskin.

Installationen krävde experimenterande …

Hur fungerar det då i praktiken? Våra första erfarenheter var inte särdeles lovande. Nu var den bärbara dator vi testade på säkert inte optimal för systemet, men det tog några steg av experimenterande innan vi överhuvudtaget lyckades få igång installationen. Sedan gav den upp, utan att ge ifrån sig något felmeddelande som vi hann se. På nästa försök gick det dock att installera, och så hade vi då Qubes framför oss.

Man börjar med dom0, och möjligheten att lägga till nya applikationsdomäner. Att lägga till, ta bort och lista domäner på kommandorad gick utmärkt.

När vi försökte oss på samma sak genom det grafiska gränssnittet lyckades vi vid ett tillfälle inte ta bort en domän. Att i stället plocka bort den via kommandorad gick bra. Kanske förstod vi inte riktigt det grafiska gränssnittet, eller så är det inte helt pålitligt.


Installationen av Qubes visar sig innehålla en del val som man behöver ta ställning till, och det kräver en del kunskap hos den som installerar.

 
… men sedan rullar allt på

När man kör sina program i de olika domänerna, känns det ur användarsynpunkt egentligen som vilken Linux-distribution som helst, med KDE som skrivbordsmiljö. Det är bra, man kan ordna sina säkerhetsdomäner och behöver sedan egentligen inte bekymra sig. Varje fönster får också en ram vars färgkodning tydligt markerar vilken domän fönstret hör till.

Har man väl lyckats installera och konfigurerar Qubes känns den alltså trevlig att använda. Vägen dit gör dock att Qubes än så länge får betraktas som en Linux-variant för den som har tålamod och kunskap nog att fixa en del med sin installation. Men säkerhetstänket är intressant, och kan vara värt besväret.


Applikationer som körs i de olika säkerhetsdomänerna har en enkelt synlig domänmarkering i form av olika färg på fönsterramarna. Alla domäner samsas inom samma skrivbordsvy.


Applikationer kan startas antingen genom KDE-menyer, som också visar vilken domän man startar applikationen i, eller från kommandorad med angivande av domänen.

TechWorlds slutsats

Qubes var inte lätt att installera, och tog en stund att bekanta sig med. Men säkerhetstänket är mycket intressant, och när man väl fått igång Qubes och vant sig vid den fungerar den bra, så vitt vi kan bedöma vid ett korttest. Det är en intressant produkt att hålla ögonen på framöver.

FAKTA OCH BETYG

Produkt: Cubes OS R2
Produkttyp: Linuxdistribution
Tillverkare: Invisible Things Lab
Kontakt: wiki.qubes-os.org
Virtualiseringsteknik: Xen
Licens: GPL
Pris: Gratis

+
Ovanlig i sitt fokus på säkerhet genom isolering av olika domäner, med genomarbetade moderna teorier om säkerhet bakom.
 
-
Knöligt att installera och komma igång med – ovana användare lär behöva hjälp för att komma igång.
 

BETYG
Säkerhetsmedvetande: 28 av 30
Installation: 8 av 25
Funktioner och finesser: 15 av 25
Dokumentation: 15 av 20

TOTALT: 66 av 100