LINUXTALKS.CO

В Fedora 38 планируют реализовать поддержку универсальных образов ядра

L


0

1

В выпуске Fedora 38 предложено реализовать первую стадию перехода на модернизированный процесс загрузки, ранее предложенный Леннартом Поттерингом для организации полноценной верифицированной загрузки, охватывающей все этапы от прошивки до пространства пользователя, а не только ядра и загрузчика. Предложение пока не рассмотрено комитетом FESCo (Fedora Engineering Steering Committee), отвечающим за техническую часть разработки дистрибутива Fedora.

Компоненты для реализации предложенной идеи уже интегрированы в systemd 252 и сводятся к использованию вместо образа initrd, формируемого на локальной системе при установке пакета с ядром, унифицированного образа ядра UKI (Unified Kernel Image), генерируемого в инфраструкуре дистрибутива и заверенного цифровой подписью дистрибутива. UKI объединяет в одном файле обработчик для загрузки ядра из UEFI (UEFI boot stub), образ ядра Linux и загружаемое в память системное окружение initrd. При вызове образа UKI из UEFI предоставляется возможность проверки целостности и достоверности по цифровой подписи не только ядра, но и содержимого initrd, проверка достоверности которого важна так как в данном окружении осуществляется извлечение ключей для расшифровки корневой ФС.

Из-за значительно предстоящих изменений внедрение планируется разделить на несколько стадий. На первой стадии поддержка UKI будет добавлена в загрузчик и начнётся публикация опционального образа UKI, который будет сфокусирован на загрузке виртуальных машин с ограниченным набором компонентов и драйверов, а также связанного с установкой и обновлением UKI инструментария. На второй и третьей стадиях планируется уйти от передачи настроек в командной строке ядра и прекратить хранение ключей в initrd.

// cc-by opennet.ru
// converted with crypt’s opennet autoreposter

>>> Подробности

★★☆☆☆
Ответ на: комментарий от crypt

… Вставай! Не смей поворачиваться ко мне спиной, Гарри Поттер! Я хочу, чтобы ты видел, как я убиваю тебя!!! …

JamesHolden    
★★★★★★
Linux / Chrome

уйти от передачи настроек в командной строке ядра

А по кумполу кувалдой? Приятно ему будет?

JamesHolden    
★★★★★★
Linux / Chrome

По сабжу.

Уже давно понятно, что Red Hat идет по пути создания «некоего нечто», которое полностью формируется на инфраструктуре редхата как образ, и принципиально не модифицируемо и некастомизируемо пользователем. При этом придумываются разные благовидные оправдания по типу безопасности, надежности и так далее.

Но на мой дилетантский взгляд, это просто стремление засадить пользователям некастомизируемую систему, которую легче поддерживать потому что она одинакова у всех. Плюс ее нельзя заденисопоповить, потому что без инфраструктуры редхата можно лососнуть тунца.

Я вижу так - это может и стильно, круто и молодежно, но это в корне противоречит базовым идеям free software, open source, линукса, хакерства, гиков, и всего доброго что есть на планете.

JamesHolden    
★★★★★★
Linux / Chrome
Ответ на: комментарий от JamesHolden

довольно иронично, что мы теперь должны бороться за свободу в опенсорсе=)

crypt    
★★☆☆☆
FreeBSD / Chrome
Ответ на: комментарий от JamesHolden

Вроде бы Red Hat никогда не пытался скрывать то, с помощью чего он на своей инфрастуктуре варит образы. У пользователя по-прежнему есть вариант пойти по пути CentOS - скачать srpm, spec или что там сейчас, внести свои кастомизации и приготовить новый образ.

Базовые идеи free software и хакерства не предполагают полную настройку всего именно в рантайме.

kmeaw    
★★★
Linux / Chrome

охватывающей все этапы от прошивки до пространства пользователя, а не только ядра и загрузчика

Я еще на лоре это утверждал, что так и будет. Все смеялись. Ну теперь кушайте свой виндолинукс. Только необляпайтесь.

odalist    
★★★★★★★
FreeBSD / Firefox
Ответ на: комментарий от crypt

кто этот человек

Гей и работник редхат.

почему ему все можно??!

Потому, что линукс убивает. Получил команду убить линукс от больших дядюшек из мелкософта.

odalist    
★★★★★★★
FreeBSD / Firefox
Ответ на: комментарий от odalist

Гей и работник редхат.

а вот и нет. он мудак и работник майкрософт. внимание вопрос, как ему всеравно удается то, что удается.

crypt    
★★☆☆☆
FreeBSD / Chrome
Ответ на: комментарий от crypt

как ему всеравно удается то, что удается.

отому, что получил команду убить линукс. Да и заплатили за это ему.

odalist    
★★★★★★★
FreeBSD / Firefox
Ответ на: комментарий от odalist

ну понимаешь, есть же люди и над ним! он не манагер в редхате. там свои манагеры! как он может что-то решать за редхат! федора - это редхатовский проект!

линукс нет смысла убивать. он теперь ручной. просто из него сделают systemd/Linux, который уже будет совсем другим.

crypt    
★★☆☆☆
Последнее исправление: crypt (всего исправлений: 2)

FreeBSD / Chrome
Ответ на: комментарий от crypt

Может и так. Я спорить не буду. Над счет этого у меня свое мнение.

odalist    
★★★★★★★
FreeBSD / Firefox
Ответ на: комментарий от Kaschenko

можно подумать, ты куда-то бежать собрался)

crypt    
★★☆☆☆
FreeBSD / Chrome
Ограничение на отправку комментариев: только для зарегистрированных пользователей, score>=90