ProHoster > Blog > balita sa internet > Nagpanukala si Lennart Poettering ng isang bagong arkitektura para sa na-verify na bota Linux

Nagpanukala si Lennart Poettering ng isang bagong arkitektura para sa na-verify na bota Linux

Naglathala ang Lennart Poettering ng isang panukala upang gawing moderno ang proseso ng bota. Linux-дистрибутивов, Π½Π°Ρ†Π΅Π»Π΅Π½Π½ΠΎΠ΅ Π½Π° Ρ€Π΅ΡˆΠ΅Π½ΠΈΠ΅ ΠΈΠΌΠ΅ΡŽΡ‰ΠΈΡ…ΡΡ ΠΏΡ€ΠΎΠ±Π»Π΅ΠΌ ΠΈ ΡƒΠΏΡ€ΠΎΡ‰Π΅Π½ΠΈΠ΅ ΠΎΡ€Π³Π°Π½ΠΈΠ·Π°Ρ†ΠΈΠΈ ΠΏΠΎΠ»Π½ΠΎΡ†Π΅Π½Π½ΠΎΠΉ Π²Π΅Ρ€ΠΈΡ„ΠΈΡ†ΠΈΡ€ΠΎΠ²Π°Π½Π½ΠΎΠΉ Π·Π°Π³Ρ€ΡƒΠ·ΠΊΠΈ, ΠΏΠΎΠ΄Ρ‚Π²Π΅Ρ€ΠΆΠ΄Π°ΡŽΡ‰Π΅ΠΉ Π΄ΠΎΡΡ‚ΠΎΠ²Π΅Ρ€Π½ΠΎΡΡ‚ΡŒ ядра ΠΈ Π±Π°Π·ΠΎΠ²ΠΎΠ³ΠΎ систСмного окруТСния. НСобходимыС для примСнСния Π½ΠΎΠ²ΠΎΠΉ Π°Ρ€Ρ…ΠΈΡ‚Π΅ΠΊΡ‚ΡƒΡ€Ρ‹ измСнСния ΡƒΠΆΠ΅ Π²ΠΊΠ»ΡŽΡ‡Π΅Π½Ρ‹ Π² ΠΊΠΎΠ΄ΠΎΠ²ΡƒΡŽ Π±Π°Π·Ρƒ systemd ΠΈ Π·Π°Ρ‚Ρ€Π°Π³ΠΈΠ²Π°ΡŽΡ‚ Ρ‚Π°ΠΊΠΈΠ΅ ΠΊΠΎΠΌΠΏΠΎΠ½Π΅Π½Ρ‚Ρ‹, ΠΊΠ°ΠΊ systemd-stub, systemd-measure, systemd-cryptenroll, systemd-cryptsetup, systemd-pcrphase ΠΈ systemd-creds.

ΠŸΡ€Π΅Π΄Π»ΠΎΠΆΠ΅Π½Π½Ρ‹Π΅ измСнСния сводятся ΠΊ созданию Π΅Π΄ΠΈΠ½ΠΎΠ³ΠΎ ΡƒΠ½ΠΈΠ²Π΅Ρ€ΡΠ°Π»ΡŒΠ½ΠΎΠ³ΠΎ ΠΎΠ±Ρ€Π°Π·Π° UKI (Unified Kernel Image), ΠΎΠ±ΡŠΠ΅Π΄ΠΈΠ½ΡΡŽΡ‰Π΅Π³ΠΎ ΠΎΠ±Ρ€Π°Π· ядра Linux, ΠΎΠ±Ρ€Π°Π±ΠΎΡ‚Ρ‡ΠΈΠΊ для Π·Π°Π³Ρ€ΡƒΠ·ΠΊΠΈ ядра ΠΈΠ· UEFI (UEFI boot stub) ΠΈ Π·Π°Π³Ρ€ΡƒΠΆΠ°Π΅ΠΌΠΎΠ΅ Π² ΠΏΠ°ΠΌΡΡ‚ΡŒ систСмноС ΠΎΠΊΡ€ΡƒΠΆΠ΅Π½ΠΈΠ΅ initrd, примСняСмоС для Π½Π°Ρ‡Π°Π»ΡŒΠ½ΠΎΠΉ ΠΈΠ½ΠΈΡ†ΠΈΠ°Π»ΠΈΠ·Π°Ρ†ΠΈΠΈ Π½Π° стадии Π΄ΠΎ монтирования ΠΊΠΎΡ€Π½Π΅Π²ΠΎΠΉ Π€Π‘. ВмСсто ΠΎΠ±Ρ€Π°Π·Π° RAM-диска initrd Π² UKI ΠΌΠΎΠΆΠ΅Ρ‚ Π±Ρ‹Ρ‚ΡŒ ΡƒΠΏΠ°ΠΊΠΎΠ²Π°Π½Π° ΠΈ вся систСма, Ρ‡Ρ‚ΠΎ позволяСт ΡΠΎΠ·Π΄Π°Π²Π°Ρ‚ΡŒ ΠΏΠΎΠ»Π½ΠΎΡΡ‚ΡŒΡŽ Π²Π΅Ρ€ΠΈΡ„ΠΈΡ†ΠΈΡ€ΠΎΠ²Π°Π½Π½Ρ‹Π΅ систСмныС окруТСния, Π·Π°Π³Ρ€ΡƒΠΆΠ°Π΅ΠΌΡ‹Π΅ Π² ΠΎΠΏΠ΅Ρ€Π°Ρ‚ΠΈΠ²Π½ΡƒΡŽ ΠΏΠ°ΠΌΡΡ‚ΡŒ. UKI-ΠΎΠ±Ρ€Π°Π· оформляСтся Π² Π²ΠΈΠ΄Π΅ исполняСмого Ρ„Π°ΠΉΠ»Π° Π² Ρ„ΠΎΡ€ΠΌΠ°Ρ‚Π΅ PE, ΠΊΠΎΡ‚ΠΎΡ€Ρ‹ΠΉ ΠΌΠΎΠΆΠ΅Ρ‚ Π±Ρ‹Ρ‚ΡŒ Π·Π°Π³Ρ€ΡƒΠΆΠ΅Π½ Π½Π΅ Ρ‚ΠΎΠ»ΡŒΠΊΠΎ ΠΏΡ€ΠΈ ΠΏΠΎΠΌΠΎΡ‰ΠΈ Ρ‚Ρ€Π°Π΄ΠΈΡ†ΠΈΠΎΠ½Π½Ρ‹Ρ… Π·Π°Π³Ρ€ΡƒΠ·Ρ‡ΠΈΠΊΠΎΠ², ΠΈ Π½Π°ΠΏΡ€ΡΠΌΡƒΡŽ Π²Ρ‹Π·Π²Π°Π½ ΠΈΠ· ΠΏΡ€ΠΎΡˆΠΈΠ²ΠΊΠΈ UEFI.

Ang kakayahang mag-invoke mula sa UEFI ay nagbibigay-daan sa digital signature integrity at validity verification, na sumasaklaw hindi lamang sa kernel kundi pati na rin sa initrd contents. Ang suporta para sa invocation mula sa mga tradisyunal na bootloader ay nagpapanatili din ng mga feature gaya ng pagbibigay ng maraming bersyon ng kernel at awtomatikong rollback sa gumaganang kernel kung may nakitang mga isyu sa bagong kernel pagkatapos mag-install ng update.

Π’ настоящСС врСмя Π² Π±ΠΎΠ»ΡŒΡˆΠΈΠ½ΡΡ‚Π²Π΅ дистрибутивов Linux Π² процСссС ΠΈΠ½ΠΈΡ†ΠΈΠ°Π»ΠΈΠ·Π°Ρ†ΠΈΠΈ ΠΈΡΠΏΠΎΠ»ΡŒΠ·ΡƒΠ΅Ρ‚ΡΡ Ρ†Π΅ΠΏΠΎΡ‡ΠΊΠ° Β«ΠΏΡ€ΠΎΡˆΠΈΠ²ΠΊΠ° β†’ завСрСнная Ρ†ΠΈΡ„Ρ€ΠΎΠ²ΠΎΠΉ подписью Microsoft shim-прослойка β†’ Π·Π°Π²Π΅Ρ€Π΅Π½Π½Ρ‹ΠΉ Ρ†ΠΈΡ„Ρ€ΠΎΠ²ΠΎΠΉ подписью дистрибутива Π·Π°Π³Ρ€ΡƒΠ·Ρ‡ΠΈΠΊ GRUB β†’ Π·Π°Π²Π΅Ρ€Π΅Π½Π½ΠΎΠ΅ Ρ†ΠΈΡ„Ρ€ΠΎΠ²ΠΎΠΉ подписью дистрибутива ядро Linux β†’ Π½Π΅ Π·Π°Π²Π΅Ρ€Π΅Π½Π½ΠΎΠ΅ ΠΎΠΊΡ€ΡƒΠΆΠ΅Π½ΠΈΠ΅ initrd β†’ корнСвая Π€Π‘Β». ΠžΡ‚ΡΡƒΡ‚ΡΡ‚Π²ΠΈΠ΅ Π²Π΅Ρ€ΠΈΡ„ΠΈΠΊΠ°Ρ†ΠΈΠΈ initrd Π² Ρ‚Ρ€Π°Π΄ΠΈΡ†ΠΈΠΎΠ½Π½Ρ‹Ρ… дистрибутивах создаёт ΠΏΡ€ΠΎΠ±Π»Π΅ΠΌΡ‹ с Π±Π΅Π·ΠΎΠΏΠ°ΡΠ½ΠΎΡΡ‚ΡŒΡŽ, Ρ‚Π°ΠΊ ΠΊΠ°ΠΊ срСди ΠΏΡ€ΠΎΡ‡Π΅Π³ΠΎ Π² Π΄Π°Π½Π½ΠΎΠΌ ΠΎΠΊΡ€ΡƒΠΆΠ΅Π½ΠΈΠΈ осущСствляСтся ΠΈΠ·Π²Π»Π΅Ρ‡Π΅Π½ΠΈΠ΅ ΠΊΠ»ΡŽΡ‡Π΅ΠΉ для Ρ€Π°ΡΡˆΠΈΡ„Ρ€ΠΎΠ²ΠΊΠΈ ΠΊΠΎΡ€Π½Π΅Π²ΠΎΠΉ Π€Π‘.

Ang pag-verify ng initrd na imahe ay hindi suportado dahil ang file na ito ay nabuo sa lokal na system ng user at hindi maaaring digital na lagdaan ng pamamahagi. Ito ay lubos na nagpapalubha sa pag-verify kapag gumagamit ng SecureBoot mode (upang i-verify ang initrd, ang user ay dapat bumuo ng kanilang sariling mga susi at i-load ang mga ito sa UEFI firmware). Higit pa rito, hindi pinapayagan ng kasalukuyang organisasyon ng boot ang paggamit ng impormasyon mula sa TPM PCR (Platform Configuration Register) upang subaybayan ang integridad ng mga bahagi ng user-space maliban sa shim, grub, at kernel. Kasama sa iba pang mga isyung binanggit ang kahirapan sa pag-update ng bootloader at ang kawalan ng kakayahang paghigpitan ang pag-access sa mga TPM key para sa mga mas lumang bersyon ng OS na naging lipas na pagkatapos i-install ang update.

Ang mga pangunahing layunin ng pagpapatupad ng bagong arkitektura ng boot ay:

  • Nagbibigay ng ganap na na-verify na proseso ng pag-boot, na sumasaklaw sa lahat ng mga yugto mula sa firmware hanggang sa espasyo ng user, at pagkumpirma sa bisa at integridad ng mga naka-boot na bahagi.
  • Nagbubuklod ng mga kinokontrol na mapagkukunan sa mga rehistro ng TPM PCR na may dibisyon ng mga may-ari.
  • Kakayahang mag-pre-calculate ng mga halaga ng PCR batay sa kernel, initrd, configuration, at local system identifier na ginamit sa boot.
  • Proteksyon laban sa mga pag-atake ng rollback, na kinasasangkutan ng pagbabalik sa isang dating masusugatan na bersyon ng system.
  • Pagpapasimple at pagpapahusay sa pagiging maaasahan ng mga update.
  • Suporta para sa mga update sa OS na hindi nangangailangan ng muling paggamit o lokal na pagbibigay ng mga mapagkukunang protektado ng TPM.
  • Ang system ay handa na para sa malayuang sertipikasyon upang kumpirmahin ang kawastuhan ng bootable na OS at mga setting.
  • Ang kakayahang mag-attach ng sensitibong data sa mga partikular na yugto ng boot, tulad ng pagkuha ng mga encryption key para sa root filesystem mula sa TPM.
  • Nagbibigay ng secure, awtomatiko, at walang user na proseso para sa pag-unlock ng mga key para i-decrypt ang isang drive na may root partition.
  • Paggamit ng mga chip na sumusuporta sa detalye ng TPM 2.0, na may kakayahang mag-roll back sa mga system na walang TPM.

Pinagmulan: opennet.ru

Bumili ng maaasahang pagho-host para sa mga site na may proteksyon ng DDoS, mga server ng VPS VDS πŸ”₯ Bumili ng maaasahang website hosting na may proteksyon ng DDoS, VPS VDS servers | ProHoster