„Fedora 38“ išleidimas siūlo įgyvendinti pirmąjį perėjimo prie modernizuoto įkrovos proceso etapą, kurį anksčiau pasiūlė Lennart Potting, kad būtų užtikrintas visiškai patikrintas įkrovimas, apimantis visus etapus nuo programinės įrangos iki vartotojo erdvės, o ne tik branduolį ir įkrovos įkroviklį. Pasiūlymo dar nesvarstė FESCo (Fedora Engineering Steering Committee), kuris yra atsakingas už techninę Fedora platinimo kūrimo dalį.
Siūlomos idėjos įgyvendinimo komponentai jau yra integruoti į systemd 252 ir apsiriboja tuo, kad vietoj initrd atvaizdo, sugeneruoto vietinėje sistemoje diegiant branduolio paketą, naudojamas vieningas branduolio vaizdas UKI (Unified Kernel Image), sugeneruotas paskirstyme. infrastruktūros ir skaitmeniniu parašu platinimo. UKI viename faile sujungia tvarkyklę, skirtą branduoliui įkelti iš UEFI (UEFI boot stub), Linux branduolio atvaizdą ir į atmintį įkeltą initrd sistemos aplinką. Iškviečiant UKI vaizdą iš UEFI, galima patikrinti ne tik branduolio, bet ir initrd turinio, kurio autentiškumo patikrinimas yra svarbus, nes šioje aplinkoje yra iššifravimo raktai, skaitmeninio parašo vientisumą ir patikimumą. šakninės FS yra nuskaitomos.
Dėl laukiančių reikšmingų pokyčių įgyvendinimą planuojama suskirstyti į kelis etapus. Pirmajame etape prie įkrovos tvarkyklės bus pridėtas UKI palaikymas ir bus pradėtas publikuoti pasirenkamas UKI vaizdas, kuriame pagrindinis dėmesys bus skiriamas virtualių mašinų paleidimui su ribotu komponentų ir tvarkyklių rinkiniu, taip pat įrankiais, susijusiais su UKI diegimu ir atnaujinimu. . Antrame ir trečiame etapuose planuojama atsisakyti nustatymų perdavimo branduolio komandinėje eilutėje ir nustoti saugoti raktus initrd.
Šaltinis: opennet.ru