В выпуске Fedora 38 предложено реализовать первую стадию перехода на модернизированный процесс загрузки, ранее предложенный Леннартом Поттерингом для организации полноценной верифицированной загрузки, охватывающей все этапы от прошивки до пространства пользователя, а не только ядра и загрузчика. Предложение пока не рассмотрено комитетом FESCo (Fedora Engineering Steering Committee), отвечающим за техническую часть разработки дистрибутива Fedora.

Компоненты для реализации предложенной идеи уже интегрированы в systemd 252 и сводятся к использованию вместо образа initrd, формируемого на локальной системе при установке пакета с ядром, унифицированного образа ядра UKI (Unified Kernel Image), генерируемого в инфраструкуре дистрибутива и заверенного цифровой подписью дистрибутива. UKI объединяет в одном файле обработчик для загрузки ядра из UEFI (UEFI boot stub), образ ядра Linux и загружаемое в память системное окружение initrd. При вызове образа UKI из UEFI предоставляется возможность проверки целостности и достоверности по цифровой подписи не только ядра, но и содержимого initrd, проверка достоверности которого важна так как в данном окружении осуществляется извлечение ключей для расшифровки корневой ФС.

Из-за значительно предстоящих изменений внедрение планируется разделить на несколько стадий. На первой стадии поддержка UKI будет добавлена в загрузчик и начнётся публикация опционального образа UKI, который будет сфокусирован на загрузке виртуальных машин с ограниченным набором компонентов и драйверов, а также связанного с установкой и обновлением UKI инструментария. На второй и третьей стадиях планируется уйти от передачи настроек в командной строке ядра и прекратить хранение ключей в initrd.

// cc-by opennet.ru
// converted with crypt’s opennet autoreposter <<<

  • JamesHolden
    link
    fedilink
    arrow-up
    0
    ·
    4 years ago

    По сабжу.

    Уже давно понятно, что Red Hat идет по пути создания “некоего нечто”, которое полностью формируется на инфраструктуре редхата как образ, и принципиально не модифицируемо и некастомизируемо пользователем. При этом придумываются разные благовидные оправдания по типу безопасности, надежности и так далее.

    Но на мой дилетантский взгляд, это просто стремление засадить пользователям некастомизируемую систему, которую легче поддерживать потому что она одинакова у всех. Плюс ее нельзя заденисопоповить, потому что без инфраструктуры редхата можно лососнуть тунца.

    Я вижу так - это может и стильно, круто и молодежно, но это в корне противоречит базовым идеям free software, open source, линукса, хакерства, гиков, и всего доброго что есть на планете.

    • cryptOP
      link
      fedilink
      arrow-up
      0
      ·
      4 years ago

      довольно иронично, что мы теперь должны бороться за свободу в опенсорсе=)

    • kmeaw
      link
      fedilink
      arrow-up
      0
      ·
      4 years ago

      Вроде бы Red Hat никогда не пытался скрывать то, с помощью чего он на своей инфрастуктуре варит образы. У пользователя по-прежнему есть вариант пойти по пути CentOS - скачать srpm, spec или что там сейчас, внести свои кастомизации и приготовить новый образ.

      Базовые идеи free software и хакерства не предполагают полную настройку всего именно в рантайме.