Fedora 38 бұрын Леннарт Поттеринг ұсынған жаңартылған жүктеу процесіне көшудің бірінші кезеңін енгізуді ұсынады, бұл тек ядро мен жүктеушіні ғана емес, микробағдарламадан бастап пайдаланушы кеңістігіне дейінгі барлық кезеңдерді қамтитын толық тексерілген жүктеу процесін қамтамасыз ету үшін жасалады. Ұсыныс әлі Fedora дистрибуциясының техникалық әзірлеу органы FESCo (Fedora Engineering Managering Committee) тарапынан қаралған жоқ.
Компоненты для реализации предложенной идеи уже интегрированы в systemd 252 и сводятся к использованию вместо образа initrd, формируемого на локальной системе при установке пакета с ядром, унифицированного образа ядра UKI (Unified Kernel Image), генерируемого в инфраструкуре дистрибутива и заверенного цифровой подписью дистрибутива. UKI объединяет в одном файле обработчик для загрузки ядра из UEFI (UEFI boot stub), образ ядра Linux және initrd жүйелік ортасы жадқа жүктеледі. UEFI-ден UKI кескінін жүктеген кезде, сандық қолтаңбаны пайдаланып, тек ядроның ғана емес, сонымен қатар initrd мазмұнының да тұтастығы мен түпнұсқалығын тексеруге болады. initrd тексеруі маңызды, себебі бұл ортада түбірлік файлдық жүйені шифрдан шығаруға арналған кілттер алынады.
Алдағы маңызды өзгерістерге байланысты, оны бірнеше кезеңге бөлу жоспарлануда. Бірінші кезеңде жүктеушіге UKI қолдауы қосылады және жүктеуге бағытталған қосымша UKI кескіні шығарылады. виртуалды машиналар шектеулі компоненттер мен драйверлер жиынтығымен, сондай-ақ UKI орнату және жаңартуға қатысты құралдармен. Екінші және үшінші кезеңдерде біз параметрлерді ядро пәрмен жолы арқылы беру қажеттілігін жоюды және кілттерді initrd-де сақтауды тоқтатуды жоспарлап отырмыз.
Ақпарат көзі: opennet.ru
