ProHoster > බ්ලොග් > අන්තර්ජාල පුවත් > Lennart Pottering විසින් නව Linux verified boot architecture එකක් යෝජනා කරන ලදී

Lennart Pottering විසින් නව Linux verified boot architecture එකක් යෝජනා කරන ලදී

Lennart Poettering විසින් Linux බෙදාහැරීම් සඳහා ඇරඹුම් ක්‍රියාවලිය නවීකරණය කිරීමේ යෝජනාවක් ප්‍රකාශයට පත් කර ඇති අතර, පවතින ගැටළු විසඳීම සහ කර්නලයේ සහ යටින් පවතින පද්ධති පරිසරයේ විශ්වසනීයත්වය තහවුරු කරන සම්පූර්ණ සත්‍යාපිත ඇරඹුමක් සංවිධානය කිරීම සරල කිරීම අරමුණු කර ගෙන ඇත. නව ගෘහ නිර්මාණ ශිල්පය ක්‍රියාත්මක කිරීමට අවශ්‍ය වෙනස්කම් දැනටමත් systemd codebase හි ඇතුළත් කර ඇති අතර systemd-stub, systemd-measure, systemd-cryptenroll, systemd-cryptsetup, systemd-pcrphase සහ systemd-creds වැනි සංරචක කෙරෙහි බලපායි.

යෝජිත වෙනස්කම් UEFI (UEFI boot stub) වෙතින් කර්නලය පූරණය කිරීම සඳහා හසුරුවන්නෙකු වන Linux කර්නල රූපය සහ මතකයට පටවා ඇති initrd පද්ධති පරිසරය ඒකාබද්ධ කරමින් UKI (Unified Kernel Image) තනි විශ්වීය රූපයක් නිර්මාණය කිරීම දක්වා ගලා යයි. මූල FS සවි කිරීමට පෙර අදියරේදී ආරම්භක ආරම්භය. initrd RAM තැටි රූපයක් වෙනුවට, සම්පූර්ණ පද්ධතියම UKI හි ඇසුරුම් කළ හැකි අතර, RAM තුළට පටවා ඇති සම්පූර්ණ සත්‍යාපිත පද්ධති පරිසරයන් නිර්මාණය කිරීමට ඔබට ඉඩ සලසයි. UKI රූපය PE ආකෘතියෙන් ක්‍රියාත්මක කළ හැකි ගොනුවක් ලෙස ආකෘතිගත කර ඇති අතර එය සම්ප්‍රදායික ඇරඹුම් කාරක භාවිතා කිරීමෙන් පමණක් පූරණය කළ හැකි නමුත් UEFI ස්ථිරාංගයෙන් කෙලින්ම ඇමතිය හැකිය.

UEFI වෙතින් ඇමතීමේ හැකියාව ඔබට කර්නලය පමණක් නොව, initrd හි අන්තර්ගතයද ආවරණය වන ඩිජිටල් අත්සන අඛණ්ඩතා පරීක්ෂාවක් භාවිතා කිරීමට ඉඩ සලසයි. ඒ අතරම, සාම්ප්‍රදායික ඇරඹුම් කාරකයන්ගෙන් ඇමතුම් සඳහා සහය මඟින් කර්නලයේ අනුවාද කිහිපයක් බෙදා හැරීම සහ යාවත්කාලීනය ස්ථාපනය කිරීමෙන් පසු නව කර්නලය සමඟ ගැටළු අනාවරණය වුවහොත් ස්වයංක්‍රීයව වැඩ කරන කර්නලයකට ස්වයංක්‍රීයව ආපසු හැරීම වැනි විශේෂාංග රඳවා ගැනීමට ඔබට ඉඩ සලසයි.

දැනට, බොහෝ ලිනක්ස් බෙදාහැරීම් වලදී, ආරම්භක ක්‍රියාවලිය "ෆර්ම්වෙයාර් → ඩිජිටල් ලෙස අත්සන් කරන ලද මයික්‍රොසොෆ්ට් ෂිම් ලේයර් → GRUB ඇරඹුම් කාරකය බෙදාහැරීම → ඩිජිටල් ලෙස අත්සන් කරන ලද ලිනක්ස් කර්නලය → අත්සන් නොකළ initrd පරිසරය → root FS" දාමය භාවිතා කරයි. සම්ප්‍රදායික බෙදාහැරීම් වල initrd සත්‍යාපනය නොමැතිකම ආරක්ෂක ගැටළු ඇති කරයි, මන්ද, වෙනත් දේ අතර, මෙම පරිසරය තුළ root ගොනු පද්ධතිය විකේතනය කිරීමේ යතුරු ලබා ගනී.

මෙම ගොනුව පරිශීලකයාගේ දේශීය පද්ධතිය මත ජනනය කර ඇති බැවින් initrd රූපයේ සත්‍යාපනයට සහය නොදක්වන අතර බෙදාහැරීමේ කට්ටලයේ ඩිජිටල් අත්සනකින් සහතික කළ නොහැක, එය SecureBoot මාදිලිය භාවිතා කරන විට සත්‍යාපනය සංවිධානය කිරීම බෙහෙවින් සංකීර්ණ කරයි (initrd සත්‍යාපනය කිරීමට, පරිශීලකයාට තමන්ගේම යතුරු ජනනය කර ඒවා UEFI ස්ථිරාංග වෙත පැටවීමට අවශ්‍ය වේ). මීට අමතරව, ෂිම්, ග්‍රබ් සහ කර්නලය හැර අනෙකුත් පරිශීලක අවකාශ සංරචකවල අඛණ්ඩතාව පාලනය කිරීම සඳහා වත්මන් ඇරඹුම් සංවිධානය TPM PCR (වේදිකා වින්‍යාස ලේඛන) ලේඛනයෙන් තොරතුරු භාවිතා කිරීමට ඉඩ නොදේ. පවතින ගැටළු අතර, ඇරඹුම් කාරකය යාවත්කාලීන කිරීමේ සංකීර්ණත්වය සහ යාවත්කාලීන ස්ථාපනය කිරීමෙන් පසු අනදාල වී ඇති OS හි පැරණි අනුවාද සඳහා TPM හි යතුරු වෙත ප්‍රවේශය සීමා කිරීමට නොහැකි වීම ද සඳහන් වේ.

නව පැටවීමේ ගෘහ නිර්මාණ ශිල්පය හඳුන්වා දීමේ ප්‍රධාන අරමුණු වන්නේ:

  • ස්ථිරාංගයේ සිට පරිශීලක අවකාශය දක්වා විහිදෙන සම්පූර්ණ සත්‍යාපිත ඇරඹුම් ක්‍රියාවලියක් සැපයීම, ආරම්භ කරන ලද සංරචකවල වලංගුභාවය සහ අඛණ්ඩතාව තහවුරු කරයි.
  • අයිතිකරු විසින් වෙන් කරන ලද TPM PCR රෙජිස්ටර් වෙත පාලිත සම්පත් සම්බන්ධ කිරීම.
  • ආරම්භයේදී භාවිතා කරන කර්නලය, initrd, වින්‍යාසය සහ දේශීය පද්ධති හැඳුනුම්පත මත පදනම්ව PCR අගයන් පූර්ව ගණනය කිරීමේ හැකියාව.
  • පද්ධතියේ පෙර අවදානමට ලක්විය හැකි අනුවාදයකට පෙරළීම හා සම්බන්ධ ආපසු හැරවීමේ ප්‍රහාරවලින් ආරක්ෂා වීම.
  • යාවත්කාලීන වල විශ්වසනීයත්වය සරල කිරීම සහ වැඩි කිරීම.
  • TPM-ආරක්ෂිත සම්පත් නැවත යෙදීම හෝ දේශීය ප්‍රතිපාදන අවශ්‍ය නොවන OS යාවත්කාලීන සඳහා සහාය.
  • පටවන ලද OS සහ සැකසුම් වල නිවැරදි බව තහවුරු කිරීම සඳහා පද්ධතිය දුරස්ථ සහතික කිරීම සඳහා සූදානම් වේ.
  • සමහර ඇරඹුම් අදියර සඳහා සංවේදී දත්ත ඇමිණීමේ හැකියාව, උදාහරණයක් ලෙස, TPM වෙතින් root ගොනු පද්ධතිය සඳහා සංකේතාංකන යතුරු උපුටා ගැනීම.
  • මූල කොටස් ධාවකයක් විකේතනය කිරීම සඳහා යතුරු අගුළු හැරීම සඳහා ආරක්ෂිත, ස්වයංක්‍රීය සහ පරිශීලක-නිදහස් ක්‍රියාවලියක් සැපයීම.
  • TPM 2.0 පිරිවිතරයන්ට සහය දක්වන චිප් භාවිතය, TPM නොමැතිව පද්ධති වෙත ආපසු යාමේ හැකියාව.

මූලාශ්රය: opennet.ru

අදහස් එක් කරන්න