Fedora 38'in piyasaya sürülmesi, yalnızca çekirdek ve önyükleyiciyi değil, ürün yazılımından kullanıcı alanına kadar tüm aşamaları kapsayan, tam olarak doğrulanmış bir önyükleme için daha önce Lennart Potting tarafından önerilen modernleştirilmiş önyükleme sürecine geçişin ilk aşamasını uygulamayı öneriyor. Teklif, Fedora dağıtımının geliştirilmesinin teknik kısmından sorumlu olan FESCo (Fedora Mühendislik Yönlendirme Komitesi) tarafından henüz değerlendirilmedi.
Önerilen fikrin uygulanmasına yönelik bileşenler zaten systemd 252'ye entegre edilmiştir ve çekirdek paketini kurarken yerel sistemde oluşturulan initrd görüntüsü yerine, dağıtımda oluşturulan birleşik bir çekirdek görüntüsü UKI (Birleşik Çekirdek Görüntüsü) kullanımına indirgenir. altyapı ve dağıtım tarafından dijital olarak imzalanmıştır. UKI, UEFI'den (UEFI önyükleme saplaması) çekirdeği yüklemek için kullanılan işleyiciyi, Linux çekirdek görüntüsünü ve belleğe yüklenen initrd sistem ortamını tek bir dosyada birleştirir. UEFI'den bir UKI görüntüsünü çağırırken, yalnızca çekirdeğin değil, aynı zamanda orijinallik kontrolü önemli olan initrd'nin içeriğinin dijital imzasının bütünlüğünü ve güvenilirliğini de kontrol etmek mümkündür, çünkü bu ortamda şifre çözme anahtarları vardır. kök FS alınır.
Yaklaşan önemli değişiklikler nedeniyle, dağıtımın birkaç aşamaya bölünmesi planlanmaktadır. İlk aşamada, önyükleyiciye UKI desteği eklenecek ve önyüklemeye odaklanan isteğe bağlı bir UKI imajı yayınlanacaktır. Sanal makineler Sınırlı sayıda bileşen ve sürücünün yanı sıra UKI kurulumu ve güncellemesiyle ilgili araçlarla başlıyoruz. İkinci ve üçüncü aşamalarda, ayarların çekirdek komut satırı üzerinden geçirilmesi ihtiyacını ortadan kaldırmayı ve anahtarları initrd'de saklamayı durdurmayı planlıyoruz.
Kaynak: opennet.ru
