புரோஹோஸ்டர் > Блог > இணைய செய்தி > லெனார்ட் பாட்டரிங் லினக்ஸிற்கான புதிய சரிபார்க்கப்பட்ட துவக்க கட்டமைப்பை முன்மொழிந்தார்

லெனார்ட் பாட்டரிங் லினக்ஸிற்கான புதிய சரிபார்க்கப்பட்ட துவக்க கட்டமைப்பை முன்மொழிந்தார்

Lennart Poettering, Linux விநியோகங்களுக்கான துவக்க செயல்முறையை நவீனமயமாக்கும் திட்டத்தை வெளியிட்டுள்ளது, இது ஏற்கனவே உள்ள சிக்கல்களைத் தீர்ப்பதை நோக்கமாகக் கொண்டது மற்றும் கர்னலின் நம்பகத்தன்மை மற்றும் அடிப்படை கணினி சூழலை உறுதிப்படுத்தும் முழு சரிபார்க்கப்பட்ட துவக்க அமைப்பை எளிதாக்குகிறது. புதிய கட்டமைப்பை செயல்படுத்த தேவையான மாற்றங்கள் ஏற்கனவே systemd கோட்பேஸில் சேர்க்கப்பட்டுள்ளது மற்றும் systemd-stub, systemd-measure, systemd-cryptenroll, systemd-cryptsetup, systemd-pcrphase மற்றும் systemd-creds போன்ற கூறுகளை பாதிக்கிறது.

UEFI (UEFI பூட் ஸ்டப்) மற்றும் நினைவகத்தில் ஏற்றப்பட்ட initrd கணினி சூழல் ஆகியவற்றிலிருந்து கர்னலை ஏற்றுவதற்கான கையாளான லினக்ஸ் கர்னல் படத்தை ஒருங்கிணைத்து UKI (யுனிஃபைட் கர்னல் இமேஜ்) என்ற ஒற்றை யுனிவர்சல் படத்தை உருவாக்க முன்மொழியப்பட்ட மாற்றங்கள் கொதிக்கின்றன. ரூட் FS ஐ ஏற்றுவதற்கு முன் கட்டத்தில் ஆரம்ப துவக்கம். initrd ரேம் வட்டு படத்திற்கு பதிலாக, முழு கணினியையும் UKI இல் தொகுக்க முடியும், இது RAM இல் ஏற்றப்பட்ட முழுமையாக சரிபார்க்கப்பட்ட கணினி சூழல்களை உருவாக்க உங்களை அனுமதிக்கிறது. UKI படம் PE வடிவத்தில் இயங்கக்கூடிய கோப்பாக வடிவமைக்கப்பட்டுள்ளது, இது பாரம்பரிய பூட்லோடர்களைப் பயன்படுத்தி மட்டும் ஏற்ற முடியாது, ஆனால் UEFI ஃபார்ம்வேரிலிருந்து நேரடியாக அழைக்கப்படலாம்.

UEFI இலிருந்து அழைக்கும் திறன், கர்னலை மட்டுமல்ல, initrd இன் உள்ளடக்கங்களையும் உள்ளடக்கிய டிஜிட்டல் சிக்னேச்சர் ஒருமைப்பாடு சரிபார்ப்பைப் பயன்படுத்த உங்களை அனுமதிக்கிறது. அதே நேரத்தில், பாரம்பரிய பூட்லோடர்களிடமிருந்து அழைப்பதற்கான ஆதரவு, கர்னலின் பல பதிப்புகளை வழங்குதல் மற்றும் புதுப்பிப்பை நிறுவிய பின் புதிய கர்னலில் சிக்கல்கள் கண்டறியப்பட்டால், வேலை செய்யும் கர்னலுக்கு தானாக திரும்புதல் போன்ற அம்சங்களைத் தக்கவைத்துக்கொள்ள உங்களை அனுமதிக்கிறது.

தற்சமயம், பெரும்பாலான லினக்ஸ் விநியோகங்களில், துவக்கச் செயல்முறையானது "ஃபர்ம்வேர் → டிஜிட்டல் கையொப்பமிடப்பட்ட மைக்ரோசாஃப்ட் ஷிம் லேயர் → GRUB துவக்க ஏற்றி விநியோகத்தால் டிஜிட்டல் கையொப்பமிடப்பட்ட → டிஜிட்டல் கையொப்பமிடப்பட்ட லினக்ஸ் கர்னல் → கையொப்பமிடாத initrd சூழல் → ரூட் FS" சங்கிலியைப் பயன்படுத்துகிறது. பாரம்பரிய விநியோகங்களில் initrd சரிபார்ப்பு இல்லாமை பாதுகாப்பு சிக்கல்களை உருவாக்குகிறது, ஏனெனில், மற்றவற்றுடன், இந்த சூழலில் ரூட் கோப்பு முறைமையை மறைகுறியாக்குவதற்கான விசைகள் மீட்டெடுக்கப்படுகின்றன.

initrd படத்தின் சரிபார்ப்பு ஆதரிக்கப்படவில்லை, ஏனெனில் இந்தக் கோப்பு பயனரின் லோக்கல் சிஸ்டத்தில் உருவாக்கப்பட்டுள்ளது மற்றும் விநியோகக் கருவியின் டிஜிட்டல் கையொப்பத்துடன் சான்றளிக்க முடியாது, இது SecureBoot பயன்முறையைப் பயன்படுத்தும் போது சரிபார்ப்பின் அமைப்பை பெரிதும் சிக்கலாக்குகிறது (initrd ஐச் சரிபார்க்க, பயனர் தங்கள் சொந்த விசைகளை உருவாக்கி அவற்றை UEFI firmware இல் ஏற்ற வேண்டும்). கூடுதலாக, ஷிம், க்ரப் மற்றும் கர்னலைத் தவிர மற்ற பயனர் இடக் கூறுகளின் ஒருமைப்பாட்டைக் கட்டுப்படுத்த டிபிஎம் பிசிஆர் (பிளாட்ஃபார்ம் உள்ளமைவுப் பதிவு) பதிவேட்டில் இருந்து தகவல்களைப் பயன்படுத்த தற்போதைய துவக்க அமைப்பு அனுமதிப்பதில்லை. தற்போதுள்ள சிக்கல்களில், பூட்லோடரைப் புதுப்பிப்பதில் உள்ள சிக்கலானது மற்றும் புதுப்பிப்பை நிறுவிய பின் பொருத்தமற்றதாகிவிட்ட OS இன் பழைய பதிப்புகளுக்கான TPM இல் உள்ள விசைகளுக்கான அணுகலைக் கட்டுப்படுத்த இயலாமை ஆகியவை குறிப்பிடப்பட்டுள்ளன.

புதிய ஏற்றுதல் கட்டமைப்பை அறிமுகப்படுத்துவதற்கான முக்கிய குறிக்கோள்கள்:

  • ஃபார்ம்வேரில் இருந்து பயனர் இடம் வரை பரவும் முழு சரிபார்க்கப்பட்ட துவக்க செயல்முறையை வழங்குதல், துவக்கப்படும் கூறுகளின் செல்லுபடியாகும் தன்மை மற்றும் ஒருமைப்பாட்டை உறுதிப்படுத்துகிறது.
  • உரிமையாளரால் பிரிக்கப்பட்ட TPM PCR பதிவேடுகளுடன் கட்டுப்படுத்தப்பட்ட ஆதாரங்களை இணைக்கிறது.
  • துவக்கத்தின் போது பயன்படுத்தப்படும் கர்னல், initrd, கட்டமைப்பு மற்றும் உள்ளூர் அமைப்பு ஐடி ஆகியவற்றின் அடிப்படையில் PCR மதிப்புகளை முன்கூட்டியே கணக்கிடும் திறன்.
  • கணினியின் முந்தைய பாதிக்கப்படக்கூடிய பதிப்பிற்கு திரும்புவதுடன் தொடர்புடைய ரோல்பேக் தாக்குதல்களுக்கு எதிரான பாதுகாப்பு.
  • புதுப்பிப்புகளின் நம்பகத்தன்மையை எளிமைப்படுத்தவும் அதிகரிக்கவும்.
  • TPM-பாதுகாக்கப்பட்ட ஆதாரங்களின் மறு பயன்பாடு அல்லது உள்ளூர் வழங்கல் தேவையில்லாத OS புதுப்பிப்புகளுக்கான ஆதரவு.
  • ஏற்றப்பட்ட OS மற்றும் அமைப்புகளின் சரியான தன்மையை உறுதிப்படுத்த ரிமோட் சான்றிதழுக்கு கணினி தயாராக உள்ளது.
  • சில துவக்க நிலைகளில் முக்கியமான தரவை இணைக்கும் திறன், எடுத்துக்காட்டாக, TPM இலிருந்து ரூட் கோப்பு முறைமைக்கான குறியாக்க விசைகளை பிரித்தெடுத்தல்.
  • ரூட் பகிர்வு இயக்ககத்தை மறைகுறியாக்க விசைகளைத் திறப்பதற்கான பாதுகாப்பான, தானியங்கி மற்றும் பயனர்-இலவச செயல்முறையை வழங்குகிறது.
  • TPM 2.0 விவரக்குறிப்பை ஆதரிக்கும் சில்லுகளின் பயன்பாடு, TPM இல்லாமல் கணினிகளுக்கு திரும்பும் திறன்.

ஆதாரம்: opennet.ru

கருத்தைச் சேர்