ProHoster > Blog > wararka internetka > Lennart Poettering wuxuu soo jeediyay qaab-dhismeed cusub oo loogu talagalay kabaha la xaqiijiyay Linux

Lennart Poettering wuxuu soo jeediyay qaab-dhismeed cusub oo loogu talagalay kabaha la xaqiijiyay Linux

Lennart Poettering ayaa daabacay soo jeedin lagu casriyeynayo habka boot-ka. Linux-qaybinta, oo loogu talagalay wax ka qabashada arrimaha jira iyo fududaynta abaabulka habka boot-ka oo si buuxda loo xaqiijiyay kaas oo xaqiijinaya ansaxnimada kernel-ka iyo deegaanka nidaamka hoose. Isbeddellada loo baahan yahay si loo hirgeliyo qaab-dhismeedka cusub ayaa horey loogu daray saldhiga koodhka systemd waxayna saameeyaan qaybaha sida systemd-stub, systemd-measure, systemd-cryptenroll, systemd-cryptsetup, systemd-pcrphase, iyo systemd-creds.

Isbeddellada la soo jeediyay waxay ku saleysan yihiin abuurista hal sawir oo caalami ah oo UKI ah (Sawirka Kernel-ka Midaysan), kaas oo isku daraya sawirka kernel-ka Linux, qalab loogu talagalay rarista kernel-ka UEFI (boot stub UEFI), iyo jawi nidaam initrd ah oo lagu shubay xusuusta, oo loo isticmaalo bilowga ka hor inta aan la rakibin nidaamka faylka xididka. Halkii laga isticmaali lahaa sawirka diskka RAM initrd, nidaamka oo dhan waxaa lagu xidhi karaa UKI, taasoo u oggolaanaysa abuurista jawi nidaam oo si buuxda loo xaqiijiyay oo lagu rakibay RAM. Sawirka UKI waxaa loo duubay sidii fayl la fulin karo oo qaab PE ah, kaas oo lagu rari karo ma aha oo kaliya bootloaders-ka dhaqameed laakiin sidoo kale si toos ah uga imanaya firmware-ka UEFI.

Awooda looga yeedho UEFI waxay awood u siinaysaa saxeexa dhijitaalka ah daacadnimada iyo xaqiijinta ansaxnimada, oo aan daboolin kaliya kernel-ka laakiin sidoo kale waxa ku jira initrd. Taageerada u yeerida bootloaders-dhaqameedka sidoo kale waxay ilaalisaa sifooyinka ay ka midka yihiin bixinta noocyo badan oo kernel ah iyo dib-u-soo-celinta tooska ah ee kernel-ka shaqeeya haddii arrimaha lagu ogaado kernel-ka cusub ka dib marka la rakibo cusbooneysiinta.

Waqtigan xaadirka ah, inta badan qaybinta Linux Habka bilaabista wuxuu adeegsadaa silsiladda soo socota: firmware → lakabka shim oo shahaado haysta oo leh saxiix dijitaal ah oo Microsoft ah → Bootloader GRUB oo shahaado haysta oo leh saxeex dijitaal ah oo qaybinta ah → kernel oo shahaado haysta oo leh saxeex dijitaal ah oo qaybinta ah Linux → deegaanka initrd ee aan la xaqiijin → nidaamka faylka xididka." La'aanta xaqiijinta initrd ee qaybinta dhaqameed waxay abuurtaa arrimo amni, maadaama, waxyaabo kale, deegaankan loo isticmaalo in lagu soo saaro furayaasha lagu furfurayo nidaamka faylka xididka.

Xaqiijinta sawirka initrd lama taageero sababtoo ah faylkan waxa lagu soo saaray nidaamka deegaanka ee isticmaalaha oo si dhijitaal ah looguma saxeexi karo qaybinta Tani waxay si weyn u adkeyneysaa xaqiijinta marka la isticmaalayo qaabka SecureBoot (si loo xaqiijiyo initrd, isticmaaluhu waa inuu soo saaraa furihiisa oo uu ku shubaa firmware UEFI). Intaa waxaa dheer, ururka boot-ka ee hadda ma ogola isticmaalka macluumaadka TPM PCR (Diiwaanka Habaynta Platform) si loo kormeero hufnaanta qaybaha meel-isticmaalka oo aan ahayn shim, grub, iyo kernel. Arrimaha kale ee la soo xigtay waxaa ka mid ah dhibaatada cusboonaysiinta bootloader-ka iyo awood la'aanta in la xaddido gelitaanka furayaasha TPM ee noocyadii hore ee OS ee noqday gaboobay ka dib markii la rakibo cusboonaysiinta.

Hadafyada ugu muhiimsan ee hirgelinta dhismaha cusub ee kabaha waa:

  • Bixinta habka bootinta si buuxda loo xaqiijiyay, oo daboolaya dhammaan marxaladaha laga bilaabo firmware ilaa booska isticmaalaha, iyo xaqiijinta ansaxnimada iyo hufnaanta qaybaha booted.
  • Ku-xidhka agabka la kantaroolay ee TPM PCR waxay diwaangelinaysaa qaybinta mulkiilayaasha.
  • Awoodda hore loogu xisaabiyo qiyamka PCR ee ku saleysan kernel, initrd, qaabeynta, iyo aqoonsiga nidaamka maxalliga ah ee la isticmaalo inta lagu jiro boot.
  • Ka-hortagga weerarrada dib-u-soo-noqoshada, oo ku lug leh dib-u-noqoshada nooc hore oo nidaamka nugul.
  • Fududeynta iyo hagaajinta isku halaynta wararka
  • Taageerada cusboonaysiinta OS ee aan u baahnayn dib-u-codsi ama bixinta maxalli ah ee TPM-ga la ilaaliyo.
  • Nidaamku wuxuu diyaar u yahay shahaado fog si loo xaqiijiyo saxnaanta OS bootable iyo settings.
  • Awoodda lagu lifaaqo xogta xasaasiga ah marxaladaha bootinta gaarka ah, sida soo saarista furayaasha sirta ah ee nidaamka faylalka xididka ee TPM.
  • Waxay bixisaa hab ammaan ah, toos ah, iyo isticmaale-yaraan si loo furo furayaasha si loo furfuro darawalka qayb xidid leh.
  • Isticmaalka chips-ka taageera qeexitaanka TPM 2.0, oo awood u leh in dib loogu celiyo nidaamyada TPM la'aan.

Source: opennet.ru

U soo iibso martigelin lagu kalsoonaan karo oo loogu talagalay bogagga leh ilaalinta DDoS, VPS VDS servers 🔥 Iibso martigelin degel oo lagu kalsoonaan karo oo leh ilaalinta DDoS, VPS VDS servers | ProHoster