ProHoster > بلاګ > انټرنیټ خبرونه > لینارټ پوټرینګ د لینکس لپاره د نوي تایید شوي بوټ جوړښت وړاندیز وکړ

لینارټ پوټرینګ د لینکس لپاره د نوي تایید شوي بوټ جوړښت وړاندیز وکړ

لینارټ پوټرینګ د لینکس توزیع لپاره د بوټ پروسې عصري کولو وړاندیز خپور کړی ، چې هدف یې د موجوده ستونزو حل کول او د بشپړ تایید شوي بوټ تنظیم ساده کول دي چې د کرنل اعتبار او د سیسټم لاندې سیسټم چاپیریال تاییدوي. د نوي جوړښت پلي کولو لپاره اړین بدلونونه لا دمخه د سیسټمډ کوډبیس کې شامل دي او په اجزاو اغیزه کوي لکه systemd-stub، systemd-measure، systemd-cryptenroll، systemd-cryptsetup، systemd-pcrphase او systemd-creds.

وړاندیز شوي بدلونونه د یو واحد نړیوال عکس UKI (Unified Kernel Image) رامینځته کولو ته وده ورکوي ، د لینکس کرنل عکس سره یوځای کول ، د UEFI (UEFI بوټ سټب) څخه د کرنل بارولو لپاره یو هینډلر او په حافظه کې بار شوي initrd سیسټم چاپیریال ، د دې لپاره کارول کیږي. د روټ FS نصبولو دمخه په مرحله کې ابتدايي ابتکار. د initrd RAM ډیسک عکس پرځای ، ټول سیسټم په UKI کې بسته کیدی شي ، کوم چې تاسو ته اجازه درکوي په بشپړ ډول تایید شوي سیسټم چاپیریال رامینځته کړئ چې په رام کې بار شوي. د UKI عکس د PE فارمیټ کې د اجرا وړ فایل په توګه فارمیټ شوی ، کوم چې نه یوازې د دودیز بوټلوډرونو په کارولو سره بار کیدی شي ، مګر مستقیم د UEFI فرم ویئر څخه ویل کیدی شي.

د UEFI څخه د زنګ وهلو وړتیا تاسو ته اجازه درکوي د ډیجیټل لاسلیک بشپړتیا چیک وکاروئ چې نه یوازې د کرنل پوښي ، بلکه د initrd مینځپانګې هم پوښي. په ورته وخت کې، د دودیز بوټلوډرانو څخه د زنګ وهلو لپاره ملاتړ تاسو ته اجازه درکوي چې دا ډول ځانګړتیاوې وساتئ لکه د کرنل د څو نسخو رسولو او کار کولو کرنل ته اتوماتیک رول بیک که چیرې د تازه نصبولو وروسته د نوي کرنل سره ستونزې وموندل شي.

اوس مهال، په ډیری لینکس توزیعونو کې، د پیل کولو پروسه د "فرم ویئر → ډیجیټل لاسلیک شوي مایکروسافټ شیم لیئر → GRUB بوټ لوډر په ډیجیټل ډول د توزیع لخوا لاسلیک شوی → ډیجیټل لاسلیک شوی لینکس کرنل → غیر لاسلیک شوی initrd چاپیریال → روټ FS" کاروي. په دودیز توزیع کې د initrd تایید نشتوالی امنیتي ستونزې رامینځته کوي ، ځکه چې د نورو شیانو په مینځ کې ، پدې چاپیریال کې د روټ فایل سیسټم د کوډ کولو کیلي بیرته ترلاسه کیږي.

د initrd عکس تایید ملاتړ نه کوي ځکه چې دا فایل د کارونکي په محلي سیسټم کې رامینځته شوی او نشي کولی د توزیع کټ ډیجیټل لاسلیک سره تصدیق شي ، کوم چې د SecureBoot حالت کارولو پرمهال د تایید تنظیم خورا پیچلی کوي (د initrd تصدیق کولو لپاره ، کارونکي اړتیا لري خپل کیلي تولید کړي او په UEFI فرم ویئر کې یې بار کړي). برسېره پردې، اوسنی بوټ تنظیم د TPM PCR (د پلیټ فارم کنفیګریشن راجستر) راجسترونو څخه د معلوماتو کارولو اجازه نه ورکوي ترڅو د شیم، ګروب او کرنل پرته د کاروونکي ځای اجزاو بشپړتیا کنټرول کړي. د موجوده ستونزو په مینځ کې ، د بوټلوډر تازه کولو پیچلتیا او د OS د زړو نسخو لپاره په TPM کې کیلي ته د لاسرسي محدودولو نشتوالی چې د اوسمهال نصبولو وروسته غیر مناسب شوي دي هم یادونه شوې.

د نوي بارولو جوړښت معرفي کولو اصلي اهداف په لاندې ډول دي:

  • د بشپړ تایید شوي بوټ پروسې چمتو کول چې له فرم ویئر څخه د کارونکي ځای ته غزیږي ، د بوټ شوي اجزاو اعتبار او بشپړتیا تاییدوي.
  • د TPM PCR راجسترونو سره د کنټرول شوي سرچینو لینک کول، د مالک لخوا جلا شوي.
  • د پی سی آر ارزښتونو دمخه محاسبه کولو وړتیا د کرنل ، initrd ، ترتیب او محلي سیسټم ID پراساس چې د بوټ پرمهال کارول کیږي.
  • د رول بیک بریدونو پروړاندې محافظت چې د سیسټم پخوانۍ زیان منونکي نسخې ته بیرته راستنیدو سره تړاو لري.
  • د تازه معلوماتو اعتبار ساده او زیات کړئ.
  • د OS تازه معلوماتو لپاره ملاتړ چې د TPM خوندي سرچینو بیا غوښتنلیک یا محلي چمتو کولو ته اړتیا نلري.
  • سیسټم د ریموټ تصدیق لپاره چمتو دی ترڅو د بار شوي OS او تنظیماتو درستیت تایید کړي.
  • د بوټ ځینې مرحلو ته د حساس معلوماتو ضمیمه کولو وړتیا، د بیلګې په توګه، د TPM څخه د روټ فایل سیسټم لپاره د کوډ کولو کیلي استخراج.
  • د روټ پارشن ډرایو د کوډ کولو لپاره د کیلي خلاصولو لپاره د خوندي ، اتوماتیک او کارونکي وړیا پروسې چمتو کول.
  • د چپس کارول چې د TPM 2.0 مشخصاتو ملاتړ کوي ، د TPM پرته سیسټمونو ته د رول بیک کولو وړتیا سره.

سرچینه: opennet.ru

Add a comment