В выпуске Fedora 38 предложено реализовать первую стадию перехода на модернизированный процесс загрузки, ранее предложенный Леннартом Поттерингом для организации полноценной верифицированной загрузки, охватывающей все этапы от прошивки до пространства пользователя, а не только ядра и загрузчика. Предложение пока не рассмотрено комитетом FESCo (Fedora Engineering Steering Committee), отвечающим за техническую часть разработки дистрибутива Fedora.
Компоненты для реализации предложенной идеи уже интегрированы в systemd 252 и сводятся к использованию вместо образа initrd, формируемого на локальной системе при установке пакета с ядром, унифицированного образа ядра UKI (Unified Kernel Image), генерируемого в инфраструкуре дистрибутива и заверенного цифровой подписью дистрибутива. UKI объединяет в одном файле обработчик для загрузки ядра из UEFI (UEFI boot stub), образ ядра Linux и загружаемое в память системное окружение initrd. При вызове образа UKI из UEFI предоставляется возможность проверки целостности и достоверности по цифровой подписи не только ядра, но и содержимого initrd, проверка достоверности которого важна так как в данном окружении осуществляется извлечение ключей для расшифровки корневой ФС.
Из-за значительно предстоящих изменений внедрение планируется разделить на несколько стадий. На первой стадии поддержка UKI будет добавлена в загрузчик и начнётся публикация опционального образа UKI, который будет сфокусирован на загрузке виртуальных машин с ограниченным набором компонентов и драйверов, а также связанного с установкой и обновлением UKI инструментария. На второй и третьей стадиях планируется уйти от передачи настроек в командной строке ядра и прекратить хранение ключей в initrd.
// cc-by opennet.ru
// converted with crypt’s opennet autoreposter
>>> Подробности