Fedora 38 のリリースでは、カーネルとブートローダーだけでなく、ファームウェアからユーザー空間までのすべての段階をカバーする、完全に検証されたブートのために Lennart Potting によって以前に提案された最新化されたブート プロセスへの移行の第 XNUMX 段階を実装することが提案されています。 この提案は、Fedora ディストリビューションの開発の技術的な部分を担当する FESCo (Fedora Engineering Steering Committee) によってまだ検討されていません。
提案されたアイデアを実装するためのコンポーネントはすでに systemd 252 に統合されており、要約すると、カーネル パッケージのインストール時にローカル システム上で生成される initrd イメージの代わりに、ディストリビューションで生成される統合カーネル イメージ UKI (Unified Kernel Image) を使用します。インフラストラクチャとディストリビューションによってデジタル署名されています。 UKI は、UEFI からカーネルをロードするためのハンドラー (UEFI ブート スタブ)、Linux カーネル イメージ、およびメモリにロードされた initrd システム環境を XNUMX つのファイルに結合します。 UEFI から UKI イメージを呼び出す場合、カーネルだけでなく、initrd の内容のデジタル署名の完全性と信頼性もチェックできます。この環境では復号化するためのキーが使用されるため、その信頼性チェックが重要です。ルート FS が取得されます。
大幅な変更が予定されているため、実装は複数の段階に分けて行われる予定です。 最初の段階では、UKI サポートがブートローダーに追加され、オプションの UKI イメージの公開が開始されます。これは、限られたコンポーネントとドライバーのセットを使用して仮想マシンを起動することに重点を置くほか、UKI のインストールと更新に関連するツールにも重点を置きます。 。 第 XNUMX 段階と第 XNUMX 段階では、カーネル コマンド ラインでの設定の受け渡しをやめ、initrd へのキーの保存を停止する予定です。
出所: オープンネット.ru