Có rất nhiều hệ điều hành hiện nay như Windows, macOS hay Linux distro với Ubuntu, CentOS, Debian, nhưng sau các vụ tấn công từ WannaCry, SambaCry người dùng cho rằng không còn hệ điều hành nào an toàn nữa. Tuy nhiên, vẫn còn một hệ điều hành mà người dùng nên tin tưởng đó là Qubes OS 3.2. Hãy đọc bài viết dưới đây để biết thêm thông tin về Qubes OS 3.2 và xem nó khác biệt như thế nào với các hệ điều hành Linux còn lại nhé. Có rất nhiều hệ điều hành Linux hiện nay, tuy nhiên, nhiều bản phân phối của Linux (thường được gọi là các distro) là các hệ điều hành niche. Ví dụ, Kali Linux là một distro Linux thử nghiệm có tính bảo mật cao dựa trên nhân Linux kernel. Cũng có nhiều hệ điều hành Linux máy chủ, các trung tâm truyền thông sử dụng Linux distro và nhiều hơn thế nữa. Tuy nhiên, Qubes tập trung vào bảo mật. Khẩu hiệu của hệ điều hành này là: 'Hệ điều hành an toàn và hợp lý'. Trên trang chủ của Qubes, nó tự hào nhận được những lời chứng thực từ những người như Edward Snowden - cựu nhân viên chính thức của CIA. Với các tính năng bảo mật tích hợp, Qubes là một hệ điều hành Linux theo định hướng bảo mật chức năng và trực quan.
![Bạn đã biết hệ điều hành an toàn nhất này chưa?]()
Mặc dù nói Qubes là một hệ điều hành Linux có tính bảo mật cao nhưng chúng ta hãy làm rõ để thấy sự khác biệt với các hệ điều hành khác. Trong khi firewall và phần mềm diệt virus đều rất cần thiết, đúng vậy, thậm chí Linux cũng cần có phần mềm diệt virus thì Qubes lại dùng một cách tiếp cận khác. Thay vì dựa trên những biện pháp bảo vệ truyền thống, Qubes sử dụng ảo hóa. Do đó, nó đẩy mạnh bảo mật thông qua tính năng hoạt động độc lập. Phương pháp hoạt động độc lập này tập trung vào việc hạn chế các tương tác phần mềm và phần cứng. Đáng chú ý là công ty máy tính xách tay Linux - Purism cung cấp một tùy chọn để tung ra máy tính của họ với hệ điều hành Qubes. Các máy tính của Purism được đánh giá là những sản phẩm tốt nhất bạn nên mua. ![]()
Không giống như các hệ điều hành Linux cho máy tính để bàn truyền thống, Qubes sử dụng ảo hóa. Các máy ảo phân chia thành từng vùng riêng biệt. Một vài máy ảo có sẵn theo mặc định, tuy nhiên bạn cũng có thể tự tạo máy ảo cho riêng mình. Ảo hóa xuất hiện dưới 2 dạng là phần cứng và phần mềm. Do đó bộ điều khiển phần cứng được tách thành các domain như domain điều khiển USB. Tuy nhiên, phần mềm lại được chia thành các domain có mức độ tin cậy khác nhau. Ví dụ, bạn có thể sử dụng work domain cho các ứng dụng đáng tin cậy nhất và một domain ngẫu nhiên cho các ứng dụng ít tin cậy hơn. Mỗi domain này hoạt động trên một máy ảo riêng biệt. Tuy nhiên, không giống như chạy một hệ điều hành trong máy ảo, Qubes sử dụng ảo hóa để tách biệt các ứng dụng. Nhờ vậy, khi một phần nào đó trong dữ liệu hoặc một ứng dụng nào đó bị nhiễm phần mềm độc hại thì sẽ không ảnh hưởng đến các phần khác trong hệ thống. ![]()
Ngoài các tên miền dedicated domain (tạm dịch là tên miền riêng biệt), bạn có thể tạo các disposable domain (tạm dịch là tên miền dùng một lần). Chúng khác với những dedicated domain. Các disposable domain được tạo ra cho các tác vụ riêng lẻ và khi hoàn thành chúng sẽ hoàn toàn biến mất. Nếu bạn mở trình duyệt web trong disposable VM (máy ảo dùng một lần), bạn có thể làm bất cứ điều gì mình muốn, thêm chúng vào mục ưa thích và lưu các cookie. Tuy nhiên, khi bạn đóng trình duyệt đó lại, mọi thứ trong phiên làm việc đó đều biến mất. Mở một trình duyệt khác trong máy ảo dùng một lần, sẽ không còn dữ liệu nào lưu lại từ phiên làm việc trước. Bất kì tên miền nào cũng có một tùy chọn kích chuột phải để mở dữ liệu trong disposable VM. Do đó, nếu bạn tải xuống một file trong work hay personal domain, bạn có thể kích chuột phải và mở file đó trong disposabe domain. Nếu bạn tải PDF từ một nguồn không đáng tin cậy (không khuyến khích), bạn có thể lưu nguồn đó vào work domain và thực hiện nó trong disposable domain. ![]()
Mở một thiết bị đầu cuối trong application domain (tạm dịch là tên miền ứng dụng), chẳng hạn như work domain, tải và cài đặt phần mềm như bình thường. Tuy nhiên, sử dụng một thiết bị đầu cuối cụ thể sẽ hạn chế ứng dụng đó trong domain. Hơn nữa, việc cài đặt một ứng dụng trong domain cụ thể sẽ không lưu được. Khi bạn khởi động lại domain, chương trình đó sẽ không hiển thị. Để cài đặt và lưu một ứng dụng, bạn cần cài đặt nó trong một template. Ví dụ, nếu bạn muốn thử một ứng dụng, bạn có thể dùng nó trong một domain cụ thể. Sau đó việc khởi động lại máy ảo sẽ xóa ứng dụng đó.
Qubes OS là gì?
Cài đặt và bắt đầu
Giống như hầu hết các hệ điều hành Linux dựa trên Debian, cài đặt ban đầu của Qubes khá đơn giản. Tôi đã thử cài Qubes trên máy tính HP AMD A-10. Tuy các hệ điều hành Linux gọn nhẹ thường hoạt động tốt hơn, nhưng tôi thấy hầu như không có vấn đề gì về hiệu suất trên máy HP này khi cài Qubes. Quá trình cài đặt khá đơn giản. Tải file ISO, gắn nó vào đĩa boot và cài đặt trên một ổ đĩa cứng. Việc cài đặt phần mềm máy ảo (như VirtualBox) thường không hoạt động hợp lý khi xem xét đến các ứng dụng trong Qubes chạy trên các máy ảo. Vì vậy, bạn sẽ phải khởi động VM (máy ảo). Điều đáng chú ý là tùy chọn USB trực tiếp không được hỗ trợ, mặc dù nó luôn có sẵn dưới dạng download.Hoạt động độc lập
Xen Hypervisor
Qubes sử dụng công nghệ ảo hóa - Xen Hypervisor để tách biệt các máy ảo khác nhau. Tuy nhiên, có một administrative domain tên là - D0m0. Domain này có tính năng truy cập mọi ngóc ngách trong phần cứng. Hơn nữa, Dm0 làm chủ các phương diện như giao diện đồ họa người dùng (GUI) và các thiết bị ngoại vi như bàn phím và chuột. Tuy nhiên, từ khi có GUI, các ứng dụng xuất hiện như thể chúng chạy trên máy tính để bàn riêng lẻ. Hơn nữa, các ứng dụng này được tách biệt trong các máy ảo. Qubes sử dụng Application Viewer để cho phép hiển thị các ứng dụng trên máy tính gốc.Dedicated Domain
Sử dụng Qubes có lẽ sẽ phức tạp hơn các hệ điều hành khác. Tuy nhiên, việc chạy ứng dụng trong máy ảo không khó như bạn nghĩ. Đáng chú ý là tính đơn giản của Qubes như tôi đã đề cập ở trên. Thoạt nhìn, Qubes xuất hiện như một môi trường desktop tiêu chuẩn. Về giao diện, nó cũng không hề phức tạp hơn so với các bản phân phối Linux khác, ví dụ như Ubuntu chẳng hạn. Ví dụ, bạn có thể xem hai trường hợp khác nhau của cùng một trình duyệt web song song, chúng có thể chạy trên các tên miền bảo mật khác nhau. Một cái có thể là trình duyệt (browser) đáng tin cậy trong khi cái còn lại là trình duyệt không đáng tin cậy. Khi truy cập cùng một trang web trong cả 2 trình duyệt chạy song song, nếu bạn đăng nhập vào một trình duyệt đáng tin cậy rồi thì bạn sẽ không đăng nhập được vào trình duyệt còn lại nữa. Đó là bởi chúng nằm trong các tên miền riêng, trên các máy ảo riêng biệt. Ngay cả các trình duyệt file cũng được tách biệt hoàn toàn. Tuy nhiên, sử dụng Qubes không giống như đang sử dụng máy ảo, bởi Qubes tích hợp tất cả các máy ảo vào một máy tính, nên mọi thứ đều xuất hiện liền mạch. Tuy nhiên, có các phương tiện để chia sẻ giữa các domain. Ví dụ: nếu bạn có một file được lưu trong personal domain, bạn có thể sao chép nó vào work domain. Ngay cả khi clipboard là domain riêng biệt, nếu bạn copy văn bản trong tài liệu trên work domain và nhấp vào một tài liệu trên personal domain, đoạn văn bản đó sẽ được chuyển thành original domain. Tuy nhiên, với các tập tin, bạn có thể sử dụng Ctrl + Shift + V để sao chép dữ liệu clipboard giữa các domain. Các đường viền màu khác nhau sẽ phân biệt các domain riêng giúp bạn dễ dàng xác định các ứng dụng.Disposable Domain
Các cài đặt và cập nhật ứng dụng.
