ProHoster > Blog > notizie internet > Lennart Poettering ha proposto una nuova architettura per l'avvio verificato Linux

Lennart Poettering ha proposto una nuova architettura per l'avvio verificato Linux

Lennart Poettering ha pubblicato una proposta per modernizzare il processo di avvio. Linux-дистрибутивов, Π½Π°Ρ†Π΅Π»Π΅Π½Π½ΠΎΠ΅ Π½Π° Ρ€Π΅ΡˆΠ΅Π½ΠΈΠ΅ ΠΈΠΌΠ΅ΡŽΡ‰ΠΈΡ…ΡΡ ΠΏΡ€ΠΎΠ±Π»Π΅ΠΌ ΠΈ ΡƒΠΏΡ€ΠΎΡ‰Π΅Π½ΠΈΠ΅ ΠΎΡ€Π³Π°Π½ΠΈΠ·Π°Ρ†ΠΈΠΈ ΠΏΠΎΠ»Π½ΠΎΡ†Π΅Π½Π½ΠΎΠΉ Π²Π΅Ρ€ΠΈΡ„ΠΈΡ†ΠΈΡ€ΠΎΠ²Π°Π½Π½ΠΎΠΉ Π·Π°Π³Ρ€ΡƒΠ·ΠΊΠΈ, ΠΏΠΎΠ΄Ρ‚Π²Π΅Ρ€ΠΆΠ΄Π°ΡŽΡ‰Π΅ΠΉ Π΄ΠΎΡΡ‚ΠΎΠ²Π΅Ρ€Π½ΠΎΡΡ‚ΡŒ ядра ΠΈ Π±Π°Π·ΠΎΠ²ΠΎΠ³ΠΎ систСмного окруТСния. НСобходимыС для примСнСния Π½ΠΎΠ²ΠΎΠΉ Π°Ρ€Ρ…ΠΈΡ‚Π΅ΠΊΡ‚ΡƒΡ€Ρ‹ измСнСния ΡƒΠΆΠ΅ Π²ΠΊΠ»ΡŽΡ‡Π΅Π½Ρ‹ Π² ΠΊΠΎΠ΄ΠΎΠ²ΡƒΡŽ Π±Π°Π·Ρƒ systemd ΠΈ Π·Π°Ρ‚Ρ€Π°Π³ΠΈΠ²Π°ΡŽΡ‚ Ρ‚Π°ΠΊΠΈΠ΅ ΠΊΠΎΠΌΠΏΠΎΠ½Π΅Π½Ρ‚Ρ‹, ΠΊΠ°ΠΊ systemd-stub, systemd-measure, systemd-cryptenroll, systemd-cryptsetup, systemd-pcrphase ΠΈ systemd-creds.

ΠŸΡ€Π΅Π΄Π»ΠΎΠΆΠ΅Π½Π½Ρ‹Π΅ измСнСния сводятся ΠΊ созданию Π΅Π΄ΠΈΠ½ΠΎΠ³ΠΎ ΡƒΠ½ΠΈΠ²Π΅Ρ€ΡΠ°Π»ΡŒΠ½ΠΎΠ³ΠΎ ΠΎΠ±Ρ€Π°Π·Π° UKI (Unified Kernel Image), ΠΎΠ±ΡŠΠ΅Π΄ΠΈΠ½ΡΡŽΡ‰Π΅Π³ΠΎ ΠΎΠ±Ρ€Π°Π· ядра Linux, ΠΎΠ±Ρ€Π°Π±ΠΎΡ‚Ρ‡ΠΈΠΊ для Π·Π°Π³Ρ€ΡƒΠ·ΠΊΠΈ ядра ΠΈΠ· UEFI (UEFI boot stub) ΠΈ Π·Π°Π³Ρ€ΡƒΠΆΠ°Π΅ΠΌΠΎΠ΅ Π² ΠΏΠ°ΠΌΡΡ‚ΡŒ систСмноС ΠΎΠΊΡ€ΡƒΠΆΠ΅Π½ΠΈΠ΅ initrd, примСняСмоС для Π½Π°Ρ‡Π°Π»ΡŒΠ½ΠΎΠΉ ΠΈΠ½ΠΈΡ†ΠΈΠ°Π»ΠΈΠ·Π°Ρ†ΠΈΠΈ Π½Π° стадии Π΄ΠΎ монтирования ΠΊΠΎΡ€Π½Π΅Π²ΠΎΠΉ Π€Π‘. ВмСсто ΠΎΠ±Ρ€Π°Π·Π° RAM-диска initrd Π² UKI ΠΌΠΎΠΆΠ΅Ρ‚ Π±Ρ‹Ρ‚ΡŒ ΡƒΠΏΠ°ΠΊΠΎΠ²Π°Π½Π° ΠΈ вся систСма, Ρ‡Ρ‚ΠΎ позволяСт ΡΠΎΠ·Π΄Π°Π²Π°Ρ‚ΡŒ ΠΏΠΎΠ»Π½ΠΎΡΡ‚ΡŒΡŽ Π²Π΅Ρ€ΠΈΡ„ΠΈΡ†ΠΈΡ€ΠΎΠ²Π°Π½Π½Ρ‹Π΅ систСмныС окруТСния, Π·Π°Π³Ρ€ΡƒΠΆΠ°Π΅ΠΌΡ‹Π΅ Π² ΠΎΠΏΠ΅Ρ€Π°Ρ‚ΠΈΠ²Π½ΡƒΡŽ ΠΏΠ°ΠΌΡΡ‚ΡŒ. UKI-ΠΎΠ±Ρ€Π°Π· оформляСтся Π² Π²ΠΈΠ΄Π΅ исполняСмого Ρ„Π°ΠΉΠ»Π° Π² Ρ„ΠΎΡ€ΠΌΠ°Ρ‚Π΅ PE, ΠΊΠΎΡ‚ΠΎΡ€Ρ‹ΠΉ ΠΌΠΎΠΆΠ΅Ρ‚ Π±Ρ‹Ρ‚ΡŒ Π·Π°Π³Ρ€ΡƒΠΆΠ΅Π½ Π½Π΅ Ρ‚ΠΎΠ»ΡŒΠΊΠΎ ΠΏΡ€ΠΈ ΠΏΠΎΠΌΠΎΡ‰ΠΈ Ρ‚Ρ€Π°Π΄ΠΈΡ†ΠΈΠΎΠ½Π½Ρ‹Ρ… Π·Π°Π³Ρ€ΡƒΠ·Ρ‡ΠΈΠΊΠΎΠ², ΠΈ Π½Π°ΠΏΡ€ΡΠΌΡƒΡŽ Π²Ρ‹Π·Π²Π°Π½ ΠΈΠ· ΠΏΡ€ΠΎΡˆΠΈΠ²ΠΊΠΈ UEFI.

La possibilitΓ  di invocare da UEFI consente la verifica dell'integritΓ  e della validitΓ  della firma digitale, coprendo non solo il kernel ma anche il contenuto dell'initrd. Il supporto per l'invocazione da bootloader tradizionali preserva inoltre funzionalitΓ  come il provisioning di piΓΉ versioni del kernel e il rollback automatico a un kernel funzionante se vengono rilevati problemi con il nuovo kernel dopo l'installazione di un aggiornamento.

Π’ настоящСС врСмя Π² Π±ΠΎΠ»ΡŒΡˆΠΈΠ½ΡΡ‚Π²Π΅ дистрибутивов Linux Π² процСссС ΠΈΠ½ΠΈΡ†ΠΈΠ°Π»ΠΈΠ·Π°Ρ†ΠΈΠΈ ΠΈΡΠΏΠΎΠ»ΡŒΠ·ΡƒΠ΅Ρ‚ΡΡ Ρ†Π΅ΠΏΠΎΡ‡ΠΊΠ° Β«ΠΏΡ€ΠΎΡˆΠΈΠ²ΠΊΠ° β†’ завСрСнная Ρ†ΠΈΡ„Ρ€ΠΎΠ²ΠΎΠΉ подписью Microsoft shim-прослойка β†’ Π·Π°Π²Π΅Ρ€Π΅Π½Π½Ρ‹ΠΉ Ρ†ΠΈΡ„Ρ€ΠΎΠ²ΠΎΠΉ подписью дистрибутива Π·Π°Π³Ρ€ΡƒΠ·Ρ‡ΠΈΠΊ GRUB β†’ Π·Π°Π²Π΅Ρ€Π΅Π½Π½ΠΎΠ΅ Ρ†ΠΈΡ„Ρ€ΠΎΠ²ΠΎΠΉ подписью дистрибутива ядро Linux β†’ Π½Π΅ Π·Π°Π²Π΅Ρ€Π΅Π½Π½ΠΎΠ΅ ΠΎΠΊΡ€ΡƒΠΆΠ΅Π½ΠΈΠ΅ initrd β†’ корнСвая Π€Π‘Β». ΠžΡ‚ΡΡƒΡ‚ΡΡ‚Π²ΠΈΠ΅ Π²Π΅Ρ€ΠΈΡ„ΠΈΠΊΠ°Ρ†ΠΈΠΈ initrd Π² Ρ‚Ρ€Π°Π΄ΠΈΡ†ΠΈΠΎΠ½Π½Ρ‹Ρ… дистрибутивах создаёт ΠΏΡ€ΠΎΠ±Π»Π΅ΠΌΡ‹ с Π±Π΅Π·ΠΎΠΏΠ°ΡΠ½ΠΎΡΡ‚ΡŒΡŽ, Ρ‚Π°ΠΊ ΠΊΠ°ΠΊ срСди ΠΏΡ€ΠΎΡ‡Π΅Π³ΠΎ Π² Π΄Π°Π½Π½ΠΎΠΌ ΠΎΠΊΡ€ΡƒΠΆΠ΅Π½ΠΈΠΈ осущСствляСтся ΠΈΠ·Π²Π»Π΅Ρ‡Π΅Π½ΠΈΠ΅ ΠΊΠ»ΡŽΡ‡Π΅ΠΉ для Ρ€Π°ΡΡˆΠΈΡ„Ρ€ΠΎΠ²ΠΊΠΈ ΠΊΠΎΡ€Π½Π΅Π²ΠΎΠΉ Π€Π‘.

La verifica dell'immagine initrd non Γ¨ supportata perchΓ© questo file viene generato sul sistema locale dell'utente e non puΓ² essere firmato digitalmente dalla distribuzione. CiΓ² complica notevolmente la verifica quando si utilizza la modalitΓ  SecureBoot (per verificare l'initrd, l'utente deve generare le proprie chiavi e caricarle nel firmware UEFI). Inoltre, l'attuale organizzazione di avvio non consente l'utilizzo delle informazioni del TPM PCR (Platform Configuration Register) per monitorare l'integritΓ  dei componenti dello spazio utente diversi da shim, grub e kernel. Altri problemi citati includono la difficoltΓ  di aggiornare il bootloader e l'impossibilitΓ  di limitare l'accesso alle chiavi TPM per le versioni precedenti del sistema operativo che sono diventate obsolete dopo l'installazione dell'aggiornamento.

Gli obiettivi principali dell'implementazione della nuova architettura di avvio sono:

  • Fornire un processo di avvio completamente verificato, che copra tutte le fasi dal firmware allo spazio utente e confermi la validitΓ  e l'integritΓ  dei componenti avviati.
  • Associazione delle risorse controllate ai registri PCR TPM con divisione per proprietari.
  • PossibilitΓ  di precalcolare i valori PCR in base al kernel, all'initrd, alla configurazione e all'identificatore del sistema locale utilizzati durante l'avvio.
  • Protezione contro gli attacchi di rollback, che comportano il ripristino di una versione precedente vulnerabile del sistema.
  • Semplificare e migliorare l'affidabilitΓ  degli aggiornamenti.
  • Supporto per gli aggiornamenti del sistema operativo che non richiedono la riapplicazione o il provisioning locale delle risorse protette da TPM.
  • Il sistema Γ¨ pronto per la certificazione remota per confermare la correttezza del sistema operativo avviabile e delle impostazioni.
  • PossibilitΓ  di allegare dati sensibili a fasi di avvio specifiche, ad esempio estraendo le chiavi di crittografia per il file system root dal TPM.
  • Fornisce un processo sicuro, automatico e senza intervento dell'utente per sbloccare le chiavi per decrittografare un'unitΓ  con una partizione root.
  • Utilizzo di chip che supportano la specifica TPM 2.0, con la possibilitΓ  di tornare ai sistemi senza TPM.

Fonte: opennet.ru

Acquista hosting affidabile per siti con protezione DDoS, server VPS VDS πŸ”₯ Acquista un hosting web affidabile con protezione DDoS, server VPS e VDS | ProHoster