В выпуске Fedora 38 предложено реализовать первую стадию перехода на модернизированный процесс загрузки, ранее предложенный Леннартом Поттерингом для организации полноценной верифицированной загрузки, охватывающей все этапы от прошивки до пространства пользователя, а не только ядра и загрузчика. Предложение пока не рассмотрено комитетом FESCo (Fedora Engineering Steering Committee), отвечающим за техническую часть разработки дистрибутива Fedora.
Компоненты для реализации предложенной идеи уже интегрированы в systemd 252 и сводятся к использованию вместо образа initrd, формируемого на локальной системе при установке пакета с ядром, унифицированного образа ядра UKI (Unified Kernel Image), генерируемого в инфраструкуре дистрибутива и заверенного цифровой подписью дистрибутива. UKI объединяет в одном файле обработчик для загрузки ядра из UEFI (UEFI boot stub), образ ядра Linux и загружаемое в память системное окружение initrd. При вызове образа UKI из UEFI предоставляется возможность проверки целостности и достоверности по цифровой подписи не только ядра, но и содержимого initrd, проверка достоверности которого важна так как в данном окружении осуществляется извлечение ключей для расшифровки корневой ФС.
Из-за значительно предстоящих изменений внедрение планируется разделить на несколько стадий. На первой стадии поддержка UKI будет добавлена в загрузчик и начнётся публикация опционального образа UKI, который будет сфокусирован на загрузке виртуальных машин с ограниченным набором компонентов и драйверов, а также связанного с установкой и обновлением UKI инструментария. На второй и третьей стадиях планируется уйти от передачи настроек в командной строке ядра и прекратить хранение ключей в initrd.
// cc-by opennet.ru
// converted with crypt’s opennet autoreposter
<<<

По сабжу.
Уже давно понятно, что Red Hat идет по пути создания “некоего нечто”, которое полностью формируется на инфраструктуре редхата как образ, и принципиально не модифицируемо и некастомизируемо пользователем. При этом придумываются разные благовидные оправдания по типу безопасности, надежности и так далее.
Но на мой дилетантский взгляд, это просто стремление засадить пользователям некастомизируемую систему, которую легче поддерживать потому что она одинакова у всех. Плюс ее нельзя заденисопоповить, потому что без инфраструктуры редхата можно лососнуть тунца.
Я вижу так - это может и стильно, круто и молодежно, но это в корне противоречит базовым идеям free software, open source, линукса, хакерства, гиков, и всего доброго что есть на планете.
довольно иронично, что мы теперь должны бороться за свободу в опенсорсе=)
Вроде бы Red Hat никогда не пытался скрывать то, с помощью чего он на своей инфрастуктуре варит образы. У пользователя по-прежнему есть вариант пойти по пути CentOS - скачать srpm, spec или что там сейчас, внести свои кастомизации и приготовить новый образ.
Базовые идеи free software и хакерства не предполагают полную настройку всего именно в рантайме.