Lennart Pottering သည် Linux အတွက် အတည်ပြုထားသော boot architecture အသစ်ကို အဆိုပြုခဲ့သည်။

Lennart Poettering သည် လက်ရှိပြဿနာများကိုဖြေရှင်းရန်နှင့် kernel ၏ယုံကြည်စိတ်ချရမှုနှင့်အရင်းခံစနစ်ပတ်ဝန်းကျင်ကိုအတည်ပြုသည့်အပြည့်အဝစစ်ဆေးပြီးသောဘွတ်တ်အဖွဲ့အစည်းကိုရိုးရှင်းစေရန်ရည်ရွယ်၍ Linux ဖြန့်ဖြူးမှုများအတွက် boot လုပ်ငန်းစဉ်ကို ခေတ်မီအောင်ပြုလုပ်ရန် အဆိုပြုချက်ကိုထုတ်ဝေခဲ့သည်။ ဗိသုကာအသစ်ကို အကောင်အထည်ဖော်ရန် လိုအပ်သောပြောင်းလဲမှုများသည် systemd-stub၊ systemd-measure၊ systemd-cryptenroll၊ systemd-cryptsetup၊ systemd-pcrphase နှင့် systemd-creds ကဲ့သို့သော အစိတ်အပိုင်းများကို သက်ရောက်မှုရှိပါသည်။

အဆိုပြုထားသောပြောင်းလဲမှုများသည် universal image UKI (Unified Kernel Image)၊ Linux kernel ပုံ၊ UEFI (UEFI boot stub) မှ kernel ကို loading အတွက် handler နှင့် initrd system ပတ်၀န်းကျင်ကို ပေါင်းစည်းခြင်းအထိ အကျုံးဝင်ပါသည်။ root FS ကိုမတပ်ဆင်မီအဆင့်တွင်ကနဦးအစပြုခြင်း။ initrd RAM disk ပုံအစား၊ စနစ်တစ်ခုလုံးကို UKI တွင် ထုပ်ပိုးထားနိုင်ပြီး၊ ၎င်းသည် သင့်အား RAM ထဲသို့ အပြည့်ထည့်ထားသော စနစ်ပတ်ဝန်းကျင်များကို ဖန်တီးနိုင်စေပါသည်။ UKI ရုပ်ပုံအား PE ဖော်မတ်ဖြင့် လုပ်ဆောင်နိုင်သော ဖိုင်အဖြစ် ဖော်မတ်လုပ်ထားပြီး သမားရိုးကျ bootloaders များကို အသုံးပြုရုံသာမက UEFI Firmware မှ တိုက်ရိုက်ခေါ်ဆိုနိုင်ပါသည်။

UEFI မှ ဖုန်းခေါ်ဆိုနိုင်မှုသည် သင့်အား kernel ကိုသာမက initrd ၏ အကြောင်းအရာများကိုပါ ဖုံးလွှမ်းထားသည့် ဒစ်ဂျစ်တယ်လက်မှတ် သမာဓိစစ်ဆေးမှုကို အသုံးပြုနိုင်သည်။ တစ်ချိန်တည်းမှာပင်၊ အပ်ဒိတ်ကိုထည့်သွင်းပြီးနောက် kernel အသစ်နှင့် ပြဿနာများတွေ့ရှိပါက တစ်ချိန်တည်းမှာပင်၊ ရိုးရာ bootloaders များမှ ခေါ်ဆိုမှုအတွက် ပံ့ပိုးမှုသည် သင်သည် kernel ဗားရှင်းများစွာကို ပေးပို့ခြင်းနှင့် အလုပ်လုပ်သည့် kernel သို့ အလိုအလျောက်ပြန်လှည့်ခြင်းကဲ့သို့သော အင်္ဂါရပ်များကို ဆက်လက်ထိန်းသိမ်းထားနိုင်စေပါသည်။

လက်ရှိတွင်၊ Linux ဖြန့်ချီမှုအများစုတွင်၊ ကနဦးစတင်ခြင်းလုပ်ငန်းစဉ်သည် “firmware → ဒစ်ဂျစ်တယ်လက်မှတ်ထိုးထားသော Microsoft shim အလွှာ → GRUB boot loader ဖြန့်ဖြူးမှု → ဒစ်ဂျစ်တယ်ဖြင့် လက်မှတ်ထိုးထားသော Linux kernel → လက်မှတ်မထိုးထားသော initrd ပတ်ဝန်းကျင် → root FS” ကွင်းဆက်ကို အသုံးပြုပါသည်။ ရိုးရာဖြန့်ဝေမှုများတွင် initrd အတည်ပြုခြင်း မရှိခြင်းသည် လုံခြုံရေးပြဿနာများကို ဖန်တီးပေးသောကြောင့်၊ ဤပတ်ဝန်းကျင်တွင်၊ root ဖိုင်စနစ်ကို ကုဒ်ဝှက်ခြင်းအတွက်သော့များကို ထုတ်ယူခြင်းအတွက် အခြားအရာများဖြစ်သောကြောင့် လုံခြုံရေးပြဿနာများ ဖန်တီးပေးပါသည်။

SecureBoot မုဒ်ကိုအသုံးပြုသောအခါတွင် ဤဖိုင်ကို အသုံးပြုသူ၏ ဒေသန္တရစနစ်တွင် ထုတ်လုပ်ပြီး ဖြန့်ဖြူးမှုကိရိယာ၏ ဒစ်ဂျစ်တယ်လက်မှတ်ဖြင့် အသိအမှတ်မပြုနိုင်သောကြောင့် initrd ပုံ၏အတည်ပြုခြင်းကို ပံ့ပိုးမထားပါ။ (initrd ကိုအတည်ပြုရန်၊ အသုံးပြုသူသည် ၎င်းတို့၏ကိုယ်ပိုင်သော့များကိုထုတ်လုပ်ပြီး UEFI firmware တွင် တင်ရန်လိုအပ်သည်)။ ထို့အပြင်၊ လက်ရှိ boot organization သည် shim၊ grub နှင့် kernel တို့မှလွဲ၍ အခြား user space အစိတ်အပိုင်းများ၏ ခိုင်မာမှုကို ထိန်းချုပ်ရန်အတွက် TPM PCR (Platform Configuration Register) မှ အချက်အလက်များကို အသုံးပြုခွင့်မပြုပါ။ လက်ရှိပြဿနာများကြားတွင်၊ အပ်ဒိတ်ကိုထည့်သွင်းပြီးနောက် မသက်ဆိုင်သည့် OS ဗားရှင်းအဟောင်းများအတွက် bootloader ကို အပ်ဒိတ်လုပ်ခြင်း၏ ရှုပ်ထွေးမှုနှင့် TPM အတွင်းရှိ သော့များဝင်ရောက်ခွင့်ကို ကန့်သတ်နိုင်စွမ်းမရှိခြင်းကိုလည်း ဖော်ပြထားပါသည်။

loading ဗိသုကာအသစ်ကို မိတ်ဆက်ခြင်း၏ အဓိကပန်းတိုင်များမှာ-

• ဖိုင်းဝဲမှ အသုံးပြုသူနေရာအထိ ချဲ့ထွင်ထားသည့် အပြည့်အ၀ စစ်ဆေးထားသော boot လုပ်ငန်းစဉ်ကို ပံ့ပိုးပေးကာ စတင်လုပ်ဆောင်နေသည့် အစိတ်အပိုင်းများ၏ တရားဝင်မှုနှင့် ခိုင်မာမှုကို အတည်ပြုသည်။
• ထိန်းချုပ်ထားသော အရင်းအမြစ်များကို ပိုင်ရှင်မှ ပိုင်းခြားထားသော TPM PCR မှတ်ပုံတင်များနှင့် ချိတ်ဆက်ခြင်း။
• boot လုပ်နေစဉ်အသုံးပြုသည့် kernel၊ initrd၊ configuration နှင့် local system ID တို့အပေါ်အခြေခံ၍ PCR တန်ဖိုးများကို ကြိုတင်တွက်ချက်နိုင်မှု။
• စနစ်၏ယခင်အားနည်းသောဗားရှင်းသို့ပြန်လှည့်ခြင်းနှင့်ဆက်စပ်သော rollback တိုက်ခိုက်မှုများကိုကာကွယ်ခြင်း။
• အပ်ဒိတ်များကို ရိုးရှင်းစေပြီး ယုံကြည်စိတ်ချရမှုကို တိုးမြှင့်ပါ။
• ပြန်လည်အပလီကေးရှင်း သို့မဟုတ် TPM-ကာကွယ်ထားသော အရင်းအမြစ်များကို ဒေသန္တရစီမံဆောင်ရွက်ပေးမှုမလိုအပ်သော OS အပ်ဒိတ်များအတွက် ပံ့ပိုးမှု။
• တင်ထားသော OS နှင့် ဆက်တင်များ၏ မှန်ကန်မှုကို အတည်ပြုရန် အဝေးထိန်းလက်မှတ်အတွက် စနစ်သည် အဆင်သင့်ဖြစ်နေပါပြီ။
• အချို့သော boot အဆင့်များတွင် အရေးကြီးသောဒေတာကို ပူးတွဲဆောင်ရွက်နိုင်သည်၊ ဥပမာ၊ TPM မှ root ဖိုင်စနစ်အတွက် ကုဒ်ဝှက်ခြင်းသော့များကို ထုတ်ယူခြင်း။
• root partition drive ကို decrypt လုပ်ရန် သော့ဖွင့်ရန်အတွက် လုံခြုံသော၊ အလိုအလျောက် နှင့် အသုံးပြုသူ-အခမဲ့ လုပ်ငန်းစဉ်ကို ပံ့ပိုးပေးခြင်း။
• TPM မပါဘဲ စနစ်များသို့ ပြန်လည်ရောက်ရှိနိုင်သည့်စွမ်းရည်ဖြင့် TPM 2.0 သတ်မှတ်ချက်ကို ပံ့ပိုးသည့် ချစ်ပ်များကို အသုံးပြုခြင်း။

source: opennet.ru