In de Fedora-release Linux 40 is van plan de tweede fase van de overgang naar het gemoderniseerde opstartproces, voorgesteld door Lennart Poettering, te implementeren. De verschillen met het klassieke opstartproces komen neer op het gebruik van een Unified Kernel Image (UKI), gegenereerd binnen de infrastructuur van de distributie en digitaal ondertekend door de distributie, in plaats van de initrd-image die op het lokale systeem wordt gegenereerd tijdens de kernelinstallatie. Het voorstel is nog niet beoordeeld door FESCo (Fedora Engineering Steering Committee), het comité dat verantwoordelijk is voor de technische ontwikkeling van de Fedora-distributie.
De UKI-image combineert in één bestand een handler voor het laden van de kernel vanuit UEFI (UEFI-bootstub) en een kernelimage. Linux en de initrd-systeemomgeving wordt in het geheugen geladen. Bij het laden van de UKI-image vanuit UEFI is het mogelijk om de integriteit en authenticiteit van niet alleen de kernel, maar ook de inhoud van de initrd te verifiëren met behulp van een digitale handtekening. Validatie van de initrd is belangrijk omdat in deze omgeving de sleutels voor het decoderen van het rootbestandssysteem worden opgeslagen.
De eerste fase van de UKI-implementatie is voltooid in Fedora. Linux 38 en leidde tot de toevoeging van UKI-ondersteuning aan de bootloader, de implementatie van tools voor het installeren en bijwerken van UKI, en de vorming van een experimentele UKI-image voor het opstarten. virtuele machines met een beperkte set componenten en drivers.
In de tweede fase willen we de mogelijkheid toevoegen om UKI rechtstreeks te laden vanuit de UEFI-module shim.efi zonder gebruik te maken van een aparte bootloader (grub, sd-boot). Daarnaast willen we de mogelijkheid implementeren om UKI te gebruiken op systemen met de Aarch64-architectuur en een versie van de UKI-image voorbereiden voor cloudomgevingen en beveiligde virtuele machines.
Bron: opennet.ru
