Ленарт Поттеринг Linux дистрибуцияларынын жүктөө процессин модернизациялоо сунушун жарыялады, ал бар көйгөйлөрдү чечүүгө жана толук кандуу текшерилген жүктөөнү уюштурууну жөнөкөйлөштүрүүгө багытталган, ядронун жана негизги система чөйрөсүнүн аныктыгын тастыктоочу. Жаңы архитектураны ишке ашыруу үчүн талап кылынган өзгөртүүлөр системалык код базасына киргизилген жана systemd-stub, systemd-measure, systemd-cryptenroll, systemd-cryptsetup, systemd-pcrphase жана systemd-creds сыяктуу компоненттерге таасир этет.
Сунушталган өзгөртүүлөр Linux ядросунун сүрөтүн, UEFIден ядрону жүктөө үчүн иштеткичти (UEFI жүктөө stub) жана эстутумга жүктөлгөн initrd тутумунун чөйрөсүн бириктирген бирдиктүү универсалдуу UKI (Бирдиктүү ядро сүрөтү) сүрөтүн түзүүгө кыскарган. түпкү FS монтаждоо баскычында баштапкы инициализация. Initrd RAM дискинин сүрөтүнүн ордуна, бүт система RAMга жүктөлгөн толугу менен текшерилген системалык чөйрөлөрдү түзүүгө мүмкүндүк берүү менен UKIде пакеттелиши мүмкүн. UKI-сүрөт PE форматындагы аткарылуучу файл түрүндө жасалган, аны салттуу жүктөөчүлөр аркылуу гана эмес, UEFI микропрограммасынан түздөн-түз чакырса болот.
UEFIден чалуу мүмкүнчүлүгү сизге ядрону гана эмес, ошондой эле initrd мазмунун камтыган санариптик кол тамганын бүтүндүгүн жана жарактуулугун текшерүүнү колдонууга мүмкүндүк берет. Ошол эле учурда салттуу жүктөөчүлөрдөн чалууну колдоо жаңыртуу орнотулгандан кийин жаңы ядродо көйгөйлөр аныкталган учурда ядронун бир нече версияларын жеткирүү жана жумушчу ядрого автоматтык түрдө кайра кайтаруу сыяктуу функцияларды сактоого мүмкүндүк берет.
Учурда көпчүлүк Linux дистрибьюторлору инициализациялоо процессинде “программа → санариптик кол коюлган Microsoft shim катмары → санариптик кол коюлган дистрибьютор GRUB жүктөгүч → санариптик кол коюлган дистрибьютор Linux ядросу → кол коюлбаган initrd чөйрөсү → тамыр FS” чынжырын колдонушат. Салттуу бөлүштүрүүдө initrd текшерүүнүн жоктугу коопсуздук көйгөйлөрүн жаратат, анткени, башка нерселер менен катар, бул чөйрө FS тамырынын шифрин чечмелөө үчүн ачкычтарды чыгарат.
Initrd сүрөтүн текшерүү колдоого алынбайт, анткени бул файл колдонуучунун локалдык системасында түзүлөт жана дистрибьютордун санариптик колтамгасы менен күбөлөндүрүлбөйт, бул SecureBoot режимин колдонууда текшерүүнү уюштурууну бир топ кыйындатат (initrd текшерүү үчүн колдонуучу керек анын ачкычтарын түзүү жана аларды UEFI микропрограммасына жүктөө үчүн). Кошумчалай кетсек, учурдагы жүктөө уюму TPM PCR (Платформа конфигурациясынын реестри) регистрлериндеги маалыматты shim, grub жана ядродон башка колдонуучу мейкиндик компоненттеринин бүтүндүгүн көзөмөлдөө үчүн колдонууга уруксат бербейт. Учурдагы көйгөйлөрдүн арасында жүктөгүчтү жаңыртуунун татаалдашы жана жаңыртуу орнотулгандан кийин маанисиз болуп калган ОСтун эски версиялары үчүн TPMдеги ачкычтарга кирүү мүмкүнчүлүгүн чектөө мүмкүн эместиги да айтылган.
Жаңы жүктөө архитектурасын ишке ашыруунун негизги максаттары:
- Толук текшерилген жүктөө процессин камсыз кылуу, микропрограммадан колдонуучу мейкиндигине чейинки бардык этаптарды камтыган жана жүктөлгөн компоненттердин жарактуулугун жана бүтүндүгүн тастыктоо.
- Башкарылуучу ресурстарды ээлери боюнча бөлүштүрүү менен TPM PCR регистрлерине байланыштыруу.
- Ядро жүктөө, initrd, конфигурация жана жергиликтүү тутум ID негизинде ПТР маанилерин алдын ала эсептөө мүмкүнчүлүгү.
- Системанын мурунку аялуу версиясына кайтуу менен байланышкан артка кайтаруу чабуулдарынан коргоо.
- Жаңыртуулардын ишенимдүүлүгүн жөнөкөйлөтүү жана жакшыртуу.
- TPM менен корголгон ресурстарды кайра колдонууну же жергиликтүү камсыздоону талап кылбаган ОС жаңыртууларын колдоо.
- Жүктөлүүчү OS жана орнотуулардын тууралыгын тастыктоо үчүн системанын алыстан сертификациялоого даярдыгы.
- Кээ бир жүктөө этаптарына купуя маалыматтарды тиркөө мүмкүнчүлүгү, мисалы, TPMден FS тамыры үчүн шифрлөө ачкычтарын алуу.
- Түпкү бөлүгү менен дисктин шифрин чечмелөө үчүн ачкычтарды ачуу үчүн коопсуз, автоматтык жана үнсүз процессти камсыз кылыңыз.
- TPM 2.0 спецификациясын колдогон микросхемалардын колдонулушу, TPMсиз системаларга кайтып келүү мүмкүнчүлүгү.
Source: opennet.ru