Fedora 38'in piyasaya sürülmesi, yalnızca çekirdek ve önyükleyiciyi değil, ürün yazılımından kullanıcı alanına kadar tüm aşamaları kapsayan, tam olarak doğrulanmış bir önyükleme için daha önce Lennart Potting tarafından önerilen modernleştirilmiş önyükleme sürecine geçişin ilk aşamasını uygulamayı öneriyor. Teklif, Fedora dağıtımının geliştirilmesinin teknik kısmından sorumlu olan FESCo (Fedora Mühendislik Yönlendirme Komitesi) tarafından henüz değerlendirilmedi.
Önerilen fikrin uygulanmasına yönelik bileşenler zaten systemd 252'ye entegre edilmiştir ve çekirdek paketini kurarken yerel sistemde oluşturulan initrd görüntüsü yerine, dağıtımda oluşturulan birleşik bir çekirdek görüntüsü UKI (Birleşik Çekirdek Görüntüsü) kullanımına indirgenir. altyapı ve dağıtım tarafından dijital olarak imzalanmıştır. UKI, UEFI'den (UEFI önyükleme saplaması) çekirdeği yüklemek için kullanılan işleyiciyi, Linux çekirdek görüntüsünü ve belleğe yüklenen initrd sistem ortamını tek bir dosyada birleştirir. UEFI'den bir UKI görüntüsünü çağırırken, yalnızca çekirdeğin değil, aynı zamanda orijinallik kontrolü önemli olan initrd'nin içeriğinin dijital imzasının bütünlüğünü ve güvenilirliğini de kontrol etmek mümkündür, çünkü bu ortamda şifre çözme anahtarları vardır. kök FS alınır.
Önümüzdeki önemli değişiklikler nedeniyle uygulamanın birkaç aşamaya bölünmesi planlanıyor. İlk aşamada, önyükleyiciye UKI desteği eklenecek ve sınırlı sayıda bileşen ve sürücüye sahip sanal makinelerin yanı sıra UKI'nin kurulumu ve güncellenmesiyle ilgili araçların başlatılmasına odaklanacak isteğe bağlı bir UKI görüntüsünün yayınlanması başlayacak. . İkinci ve üçüncü aşamalarda, çekirdek komut satırı üzerinden ayarların iletilmesinden uzaklaşılması ve anahtarların initrd'de saklanmasının durdurulması planlanıyor.
Kaynak: opennet.ru