ፕሮሆስተር > ጦማር > የኢንተርኔት ዜና > Lennart Pottering አዲስ ሊኑክስ የተረጋገጠ የቡት አርክቴክቸር አቅርቧል

Lennart Pottering አዲስ ሊኑክስ የተረጋገጠ የቡት አርክቴክቸር አቅርቧል

Lennart Poetering የሊኑክስ ስርጭቶችን የማስነሻ ሂደትን ለማዘመን ፕሮፖዛል አሳትሟል፣ ይህም ያሉትን ችግሮች ለመፍታት እና ሙሉ በሙሉ የተረጋገጠ ቡት አደረጃጀትን ለማቃለል፣ የከርነሉን ትክክለኛነት እና የስር ስርዓቱን አካባቢ የሚያረጋግጥ ነው። አዲሱን አርክቴክቸር ለመተግበር የሚያስፈልጉት ለውጦች ቀደም ሲል በስርአት ኮድ ቤዝ ውስጥ የተካተቱ እና እንደ ሲስተድ-ስቱብ፣ ሲስተድ-መለኪያ፣ ሲስተድ-ክሪፕትሬንሮል፣ ሲስተድ-ክሪፕትሴፕትፕ፣ ሲስተድ-pcrphase እና ሲስተድ-ክሬዲዎች ላይ ተጽዕኖ ያሳድራሉ።

የታቀዱት ለውጦች የሊኑክስ ከርነል ምስልን ፣ የከርነሉን ከ UEFI (UEFI boot stub) የሚጭኑበት ተቆጣጣሪ እና ወደ ማህደረ ትውስታ የተጫነ የኢንትሪድ ሲስተም አከባቢን የሚያጣምር ነጠላ ሁለንተናዊ UCI (የተዋሃደ የከርነል ምስል) ምስል እንዲፈጠር ቀንሷል ፣ ለ ሥሩን FS ከመጫንዎ በፊት በደረጃው ላይ የመጀመሪያ ጅምር። ከኢንትሪድ ራም ዲስክ ምስል ይልቅ፣ አጠቃላዩ ሲስተሙን በ UK ውስጥ ማሸግ ይቻላል፣ ይህም በ RAM ውስጥ የተጫኑ ሙሉ በሙሉ የተረጋገጡ የስርዓት አካባቢዎችን መፍጠር ያስችላል። UKI-image በ PE ቅርጸት ሊሰራ በሚችል ፋይል መልክ የተሰራ ነው, ይህም በባህላዊ ቡት ጫኚዎች ብቻ ሳይሆን በቀጥታ ከ UEFI firmware የሚጠራ ነው.

ከ UEFI የመደወል ችሎታ የከርነልን ብቻ ሳይሆን የኢንትሪድ ይዘቶችንም የሚሸፍን ዲጂታል ፊርማ ታማኝነት እና ትክክለኛነት ማረጋገጥን እንዲጠቀሙ ይፈቅድልዎታል። በተመሳሳይ ጊዜ ከባህላዊ ቡት ጫኚዎች ለመደወል የሚደረግ ድጋፍ ማሻሻያውን ከጫኑ በኋላ በአዲሱ ከርነል ላይ ችግሮች ከታዩ ብዙ የከርነል ስሪቶችን ማድረስ እና በራስ-ሰር ወደ ሥራ ከርነል መመለስ እንደነዚህ ያሉትን ባህሪዎች እንዲያስቀምጡ ያስችልዎታል።

በአሁኑ ጊዜ አብዛኛዎቹ የሊኑክስ ስርጭቶች በጅማሬ ሂደት ውስጥ "firmware → በዲጂታል የተፈረመ ማይክሮሶፍት shim Layer → በዲጂታል የተፈረመ ስርጭት GRUB bootloader → በዲጂታል የተፈረመ ስርጭት ሊኑክስ ከርነል → ያልተፈረመ የኢንትርርድ አካባቢ → root FS" የሚለውን ሰንሰለት ይጠቀማሉ። በባህላዊ ስርጭቶች ውስጥ የኢንትርርድ ማረጋገጫ አለመኖር የደህንነት ችግሮችን ይፈጥራል ምክንያቱም ከሌሎች ነገሮች በተጨማሪ ይህ አካባቢ የኤፍኤስን ስር ለመፍታት ቁልፎችን ያወጣል።

የ initrd ምስል ማረጋገጥ አይደገፍም, ይህ ፋይል በተጠቃሚው አካባቢያዊ ስርዓት ላይ የተፈጠረ እና በስርጭቱ ዲጂታል ፊርማ ሊረጋገጥ ስለማይችል SecureBoot ሁነታን ሲጠቀሙ የማረጋገጫ አደረጃጀትን በእጅጉ ያወሳስበዋል (initrd ለማረጋገጥ ተጠቃሚው ያስፈልገዋል). የእሱን ቁልፎች ለማመንጨት እና ወደ UEFI firmware ለመጫን). በተጨማሪም፣ ያለው የማስነሻ ድርጅት ከሺም፣ ግሩብ እና ከርነል ውጭ ያሉትን የተጠቃሚ-ቦታ ክፍሎችን ትክክለኛነት ለመቆጣጠር ከ TPM PCR (የፕላትፎርም ውቅረት መዝገብ) መመዝገቢያ መረጃን መጠቀም አይፈቅድም። ካሉት ችግሮች መካከል ቡት ጫኚውን የማዘመን ውስብስብነት እና በ TPM ውስጥ ያሉትን የቆዩ የስርዓተ ክወና ስሪቶች ማሻሻያውን ከጫኑ በኋላ አግባብነት የሌላቸው ለሆኑት ቁልፎች መዳረሻን መገደብ አለመቻሉም ተጠቅሷል።

አዲሱን የቡት አርክቴክቸር የመተግበር ዋና አላማዎች፡-

  • ሙሉ በሙሉ የተረጋገጠ የማውረድ ሂደት ማቅረብ፣ ሁሉንም ደረጃዎች ከጽኑዌር ወደ ተጠቃሚ ቦታ መሸፈን እና የወረዱትን አካላት ትክክለኛነት እና ታማኝነት ማረጋገጥ።
  • ቁጥጥር የሚደረግባቸው ሀብቶች ከ TPM PCR ጋር በባለቤቶች መከፋፈል ይመዘገባል ።
  • በከርነል ማስነሻ ፣ initrd ፣ ውቅር እና የአካባቢ ስርዓት መታወቂያ ላይ በመመርኮዝ የ PCR ዋጋዎችን አስቀድሞ የማስላት ችሎታ።
  • ወደ ቀዳሚው የተጋለጠ የስርዓቱ ስሪት ከመመለስ ጋር ከተያያዙ የመመለስ ጥቃቶች ጥበቃ።
  • የዝማኔዎችን አስተማማኝነት ቀለል ያድርጉት እና ያሻሽሉ።
  • ድጋሚ ማመልከት የማያስፈልጋቸው የስርዓተ ክወና ዝመናዎች ድጋፍ ወይም በ TPM የተጠበቁ ሀብቶችን አካባቢያዊ አቅርቦት።
  • ሊነሳ የሚችል ስርዓተ ክወና እና ቅንብሮችን ትክክለኛነት ለማረጋገጥ የርቀት የምስክር ወረቀት ለማግኘት የስርዓቱ ዝግጁነት።
  • ስሱ መረጃዎችን ከተወሰኑ የማስነሻ ደረጃዎች ጋር የማያያዝ ችሎታ፣ ለምሳሌ፣ ለ root FS የምስጠራ ቁልፎችን ከ TPM ማውጣት።
  • ድራይቭ ከስር ክፍልፍል ጋር ዲክሪፕት ለማድረግ ቁልፎችን ለመክፈት ደህንነቱ የተጠበቀ፣ አውቶማቲክ እና ጸጥ ያለ ሂደት ያቅርቡ።
  • TPM 2.0 መግለጫን የሚደግፉ ቺፖችን መጠቀም፣ ያለ TPM ወደ ስርዓቶች የመመለስ ችሎታ።

ምንጭ: opennet.ru

አስተያየት ያክሉ