A Fedora 38 kiadása a Lennart Potting által korábban javasolt modernizált rendszerindítási folyamatra való áttérés első szakaszának megvalósítását javasolja a teljesen ellenőrzött rendszerindítás érdekében, amely a firmware-től a felhasználói területig minden szakaszt lefed, nem csak a kernelt és a rendszerbetöltőt. A javaslatot még nem vizsgálta meg a Fedora terjesztés fejlesztésének technikai részéért felelős FESCo (Fedora Engineering Steering Committee).
A javasolt ötlet megvalósításához szükséges komponensek már integrálva vannak a systemd 252-be, és abban rejlik, hogy a kernelcsomag telepítésekor a helyi rendszeren generált initrd kép helyett a disztribúcióban generált UKI egységes kernelképet (Unified Kernel Image) használnak. infrastruktúra és a terjesztés digitálisan aláírja. Az UKI egy fájlban egyesíti a kernel UEFI-ből történő betöltésére szolgáló kezelőt (UEFI boot stub), a Linux kernel képfájlt és a memóriába betöltött initrd rendszerkörnyezetet. UKI-kép UEFI-ből történő hívásakor nem csak a kernel, hanem az initrd tartalmának a digitális aláírásának sértetlensége és megbízhatósága is ellenőrizhető, melynek hitelességének ellenőrzése azért fontos, mert ebben a környezetben a visszafejtéshez szükséges kulcsok a gyökér FS lekérésre kerül.
A várható jelentős változások miatt a megvalósítást több szakaszra bontják. Az első szakaszban az UKI támogatást adják hozzá a rendszerbetöltőhöz, és megkezdődik egy opcionális UKI-kép kiadása, amely a virtuális gépek indítására koncentrál, korlátozott számú összetevővel és illesztőprogram-készlettel, valamint az UKI telepítéséhez és frissítéséhez kapcsolódó eszközökkel. . A második és harmadik szakaszban a tervek szerint el kell hagyni a beállításokat a kernel parancssorában, és leállítják a kulcsok tárolását az initrd-ben.
Forrás: opennet.ru