# Qubes, wirklich sicherer dank Sandbox?



## Gamer090 (20. April 2012)

Hi zusammen

Habe mal nach OS gesucht im Netz und bin auf Qubes gestossen, ein OS das jedes Programm in einer eigenen Sandbos startet. Mehr als 3 Sandboxen gleichzeitig werden nicht empfohlen, wenig Leistung wird da sicher nicht verbraucht. 
Mehere Programme in einer Sandbox ausführen zu lassen soll auch gehen, widerspricht sich etwas damit, das jedes Programm eine eigene VM haben soll aber so habe ich es verstanden.
Hier mal die Webseite, ist komplett auf Englisch aber wer nicht alles lesen will schaut sich einfach mal die Screenshots an.
Ob sich damit auch Windows in einer Sandbox ausführen lässt oder ein Windows-Emulator kann ich nicht sagen, davon steht nichts auf der Seite und es gibt erst eine Beta Version davon.

Wenn die Mods nichst dagegen haben dann gibts hier noch einen Artikel von Chip. 

Eure Meinung?


----------



## Bauer87 (20. April 2012)

Nettes Proof-of-Concept, aber unnötiger Aufwand. Selbst ein eigener Nutzer pro Anwendung würde schon fast jedes Programm sinnvoll sanboxen und Chroot würde sogar die gleiche Sicherheit bringen wie VMs. Von da her werde ich das auch nicht testen.


----------



## blackout24 (20. April 2012)

Wenn das sowieso hauptsächlich Linux Programme startet ist das sowieso nicht nötig was Sicherheit angeht.


----------



## bingo88 (20. April 2012)

blackout24 schrieb:


> Wenn das sowieso hauptsächlich Linux Programme startet ist das sowieso nicht nötig was Sicherheit angeht.


 Naja, auch Linux Programme können Sicherheitslücken haben.


----------



## blackout24 (20. April 2012)

bingo88 schrieb:


> Naja, auch Linux Programme können Sicherheitslücken haben.



Die werden aber innerhalb eines Tages gefixed und ausgerollt und einfach beim nächsten Systemupdate gepatched.
Bei Windows darfst du selbst immer fleißig gucken, ob es für Winamp oder irgendein Furzprogramm eine neue Version
gibt da Microsoft zu Blöd ist richtiges Paketmanagement in Windows ein zubauen. Statt dessen ziehst du dir die Software
von dubiosen Internet Seiten. Also wenn man Linux Programme Sandboxen muss, dann muss man Windows Programme 
in der Sandbox verbuddelen.


----------



## Gamer090 (20. April 2012)

blackout24 schrieb:


> Die werden aber innerhalb eines Tages gefixed und ausgerollt und einfach beim nächsten Systemupdate gepatched.
> Bei Windows darfst du selbst immer fleißig gucken, ob es für Winamp oder irgendein Furzprogramm eine neue Version
> gibt da Microsoft zu Blöd ist richtiges Paketmanagement in Windows ein zubauen. Statt dessen ziehst du dir die Software
> von dubiosen Internet Seiten. Also wenn man Linux Programme Sandboxen muss, dann muss man Windows Programme
> in der Sandbox verbuddelen.


 
Verbuddeln?  Hast schon Recht, aber es gibt kein sicheres OS und ob es auf diese Art wirklich sicherer wäre, tja das müsste man testen.


----------



## blackout24 (20. April 2012)

Doch jedes OS ist sogar sicher. Du musst nur deine Netzwerkkabel ziehen.

Selbst wenn in einer Linux minimal Installation irgendwo ein Lücke drin ist muss man erstmal auf dich aufmerksam werden als 
potentielles Opfer.


----------



## arcDaniel (20. April 2012)

Persönlich denke ich dass man alles Übertreiben kann, seinen PC mit verstand nutzen und nich sofort auf alles drauf klicken hilft schon ne menge. Bei Linux hat man noch den Vorteil, dass Hacker die Linux-User noch nicht im Visir haben.

Warum sollte ein böser Hacker versuchen eine Minderheit (was Linux-User sind) zu bestehlen? Wenn es ne menge Dumme Windows-alles-klicker-User gibt (nicht jeder Windows User zähle ich dazu), welche leichtsinnig handeln? Kriminelle haben keine lust sich anzustrengen, sonst würden sie Arbeiten und ihr Geld auf Ehrliche Weise verdienen!

Das Concept von Qubes ist nicht schlecht und findet sicherlich seinen Einsatzzweck, aber für normalo User in meinen Augen übertrieben.


----------



## Gamer090 (20. April 2012)

Das Problem ist nicht nur geeignete User zu finden, sondern die müssen auch einen PC haben der stark genug ist um das alles zu verarbeiten manche PCs sind schon Ausgelastet bei 1 VM und das hat gleich 3 auf einmal


----------



## bingo88 (20. April 2012)

blackout24 schrieb:


> Die werden aber innerhalb eines Tages gefixed und ausgerollt und einfach beim nächsten Systemupdate gepatched.
> Bei Windows darfst du selbst immer fleißig gucken, ob es für Winamp oder irgendein Furzprogramm eine neue Version
> gibt da Microsoft zu Blöd ist richtiges Paketmanagement in Windows ein zubauen. Statt dessen ziehst du dir die Software
> von dubiosen Internet Seiten. Also wenn man Linux Programme Sandboxen muss, dann muss man Windows Programme
> in der Sandbox verbuddelen.


Die Reaktionszeit bei Open Source ist meistens wesentlich kürzer, das stimmt schon. Wenn die Lücke aber noch nicht bekannt ist, nützt das allerdings auch nichts. Ich wollte nur sagen, dass du nicht automatisch sicher bist, nur weil du Linux einsetzt.

Ich fahre seit Jahren unter Windows (und Linux) virenfrei. Ich halte stets meine Software aktuell und surfe nicht auf dubiosen Websites. Es hängt halt immer vom Nutzer ab. Jemand der sein System vernachlässigt kann unter Linux genauso Probleme bekommen, er ist halt nur nicht so "attraktiv" wie Windows-Nutzer


----------



## arcDaniel (20. April 2012)

Gamer090 schrieb:


> Das Problem ist nicht nur geeignete User zu finden, sondern die müssen auch einen PC haben der stark genug ist um das alles zu verarbeiten manche PCs sind schon Ausgelastet bei 1 VM und das hat gleich 3 auf einmal


 
Das kannst du so nicht sagen, Virtualisierung mit Xen und VM ala VirtualBox oder VMWare sin zwei paar Schuhe. Unter Linux mit Xen kannst du an sich ein zweites Linux laufen lassen und du bekommst vollen zugriff auf die Hardware, womit man eigentlich keinen Leistungsverlust hat, nur Ram kann man in dem Fall nie genug haben


----------



## Gamer090 (20. April 2012)

Was würdest du sagen wie viel RAM sollte man da mindestens haben? 16GB? 20GB?


----------



## arcDaniel (20. April 2012)

Gamer090 schrieb:


> Was würdest du sagen wie viel RAM sollte man da mindestens haben? 16GB? 20GB?


 
Denke 32gb Ram + eine Swap Partition von 256GB auf einer SSD (welche durch das Rapide Neuschreiben der Daten, keinen Verschleiss aufweist), könnte reichen 

Nein Spaas bei Seite, im Desktopbetrieb werden 8GB ja immer überlicher und das sollte reichen, denke dass sogar 2gb ausreichen sollten. Qubes steck ja noch in den Kinderschuhen, und wenn ich das richtig verstanden habe wird ja auch nicht für jede Applikation alles separat geladen. Zudem ist Linux ja nicht wie Windows für sein Speicherhunger bekannt...

Finde das Project hat interssante Ansätze, in absehbarer Zeit, ist es aber für mich ein zu übertriebenes System, warum ich zwar News-Berichte lesen werde, aber das Projekt sicherlich nicht täglich beobachten....


----------



## Gamer090 (20. April 2012)

Du kannst soviel VMs laden wie du willst wenn ich es richtig Verstanden habe, aber 3 werden empfohlen wegen der Leistung nehm ich an.

32GB RAM für einen Desktop PC??  Hoffe nicht oder irgendwann wird in einem PC mehr RAM drin sein als Festplattenspeicher


----------



## NCphalon (21. April 2012)

Wenn das wirklich einigermaßen effizient programmiert is brauchste da keine Unmengen von RAM... en komplettes Xubuntu z.B. brauch weniger als 200MB RAM, DSL, welches auch schon alleine funktionsfähig is kommt sogar mit knapp 15MB aus, glaube bei em normalen Rechner fällt sowas schon unter "Schwankungen"^^


----------



## Gamer090 (21. April 2012)

NCphalon schrieb:


> Wenn das wirklich einigermaßen effizient programmiert is brauchste da keine Unmengen von RAM... en komplettes Xubuntu z.B. brauch weniger als 200MB RAM, DSL, welches auch schon alleine funktionsfähig is kommt sogar mit knapp 15MB aus, glaube bei em normalen Rechner fällt sowas schon unter "Schwankungen"^^


 
Interessant, dann kommt mir ein Linux ja noch günstiger als ich dachte, wenn da noch Wine eingebaut wird in Qubes ist es mal ein Test wert für mich. Wenn PCGH nicht testen würde dann würde ich es machen, wenn eine stabile Version da ist mein ich nicht die Beta Version die ist noch nicht Aussagekräftig was das OS alles kann.


----------



## Bauer87 (21. April 2012)

Man kann VMs auch so bauen, dass Inhalte, die mehrfach (ein Mal für jede VM) im Speicher stehen, nur ein Mal echten RAM brauchen. Das ergibt z.b. Sinn, wenn man zig vServer mit gleichem Kernel auf einem Rechner laufen lässt. Sowas passt aber wohl weniger zu einem paranoiden Projekt wie Qubes.

PS: Viele Serverdienste laufen unter Linux standardmäßig in Chroot-Umgebungen und können damit nicht auf fremde Dateien zugreifen. Ich bleibe dabei, dass das an Sicherheit reicht. Wer über ne Sicherheitslücke im Netzwerktreiber angreift, findet wahrscheinlich eher eine im Hypervisor.


----------

