ProHoster > Ibhulogi > iindaba ze-intanethi > ULennart Poettering ucebise uyilo olutsha lwebhuthi eqinisekisiweyo Linux

ULennart Poettering ucebise uyilo olutsha lwebhuthi eqinisekisiweyo Linux

ULennart Poettering upapashe isindululo sokuphucula inkqubo yokuqalisa. Linux-дистрибутивов, Π½Π°Ρ†Π΅Π»Π΅Π½Π½ΠΎΠ΅ Π½Π° Ρ€Π΅ΡˆΠ΅Π½ΠΈΠ΅ ΠΈΠΌΠ΅ΡŽΡ‰ΠΈΡ…ΡΡ ΠΏΡ€ΠΎΠ±Π»Π΅ΠΌ ΠΈ ΡƒΠΏΡ€ΠΎΡ‰Π΅Π½ΠΈΠ΅ ΠΎΡ€Π³Π°Π½ΠΈΠ·Π°Ρ†ΠΈΠΈ ΠΏΠΎΠ»Π½ΠΎΡ†Π΅Π½Π½ΠΎΠΉ Π²Π΅Ρ€ΠΈΡ„ΠΈΡ†ΠΈΡ€ΠΎΠ²Π°Π½Π½ΠΎΠΉ Π·Π°Π³Ρ€ΡƒΠ·ΠΊΠΈ, ΠΏΠΎΠ΄Ρ‚Π²Π΅Ρ€ΠΆΠ΄Π°ΡŽΡ‰Π΅ΠΉ Π΄ΠΎΡΡ‚ΠΎΠ²Π΅Ρ€Π½ΠΎΡΡ‚ΡŒ ядра ΠΈ Π±Π°Π·ΠΎΠ²ΠΎΠ³ΠΎ систСмного окруТСния. НСобходимыС для примСнСния Π½ΠΎΠ²ΠΎΠΉ Π°Ρ€Ρ…ΠΈΡ‚Π΅ΠΊΡ‚ΡƒΡ€Ρ‹ измСнСния ΡƒΠΆΠ΅ Π²ΠΊΠ»ΡŽΡ‡Π΅Π½Ρ‹ Π² ΠΊΠΎΠ΄ΠΎΠ²ΡƒΡŽ Π±Π°Π·Ρƒ systemd ΠΈ Π·Π°Ρ‚Ρ€Π°Π³ΠΈΠ²Π°ΡŽΡ‚ Ρ‚Π°ΠΊΠΈΠ΅ ΠΊΠΎΠΌΠΏΠΎΠ½Π΅Π½Ρ‚Ρ‹, ΠΊΠ°ΠΊ systemd-stub, systemd-measure, systemd-cryptenroll, systemd-cryptsetup, systemd-pcrphase ΠΈ systemd-creds.

ΠŸΡ€Π΅Π΄Π»ΠΎΠΆΠ΅Π½Π½Ρ‹Π΅ измСнСния сводятся ΠΊ созданию Π΅Π΄ΠΈΠ½ΠΎΠ³ΠΎ ΡƒΠ½ΠΈΠ²Π΅Ρ€ΡΠ°Π»ΡŒΠ½ΠΎΠ³ΠΎ ΠΎΠ±Ρ€Π°Π·Π° UKI (Unified Kernel Image), ΠΎΠ±ΡŠΠ΅Π΄ΠΈΠ½ΡΡŽΡ‰Π΅Π³ΠΎ ΠΎΠ±Ρ€Π°Π· ядра Linux, ΠΎΠ±Ρ€Π°Π±ΠΎΡ‚Ρ‡ΠΈΠΊ для Π·Π°Π³Ρ€ΡƒΠ·ΠΊΠΈ ядра ΠΈΠ· UEFI (UEFI boot stub) ΠΈ Π·Π°Π³Ρ€ΡƒΠΆΠ°Π΅ΠΌΠΎΠ΅ Π² ΠΏΠ°ΠΌΡΡ‚ΡŒ систСмноС ΠΎΠΊΡ€ΡƒΠΆΠ΅Π½ΠΈΠ΅ initrd, примСняСмоС для Π½Π°Ρ‡Π°Π»ΡŒΠ½ΠΎΠΉ ΠΈΠ½ΠΈΡ†ΠΈΠ°Π»ΠΈΠ·Π°Ρ†ΠΈΠΈ Π½Π° стадии Π΄ΠΎ монтирования ΠΊΠΎΡ€Π½Π΅Π²ΠΎΠΉ Π€Π‘. ВмСсто ΠΎΠ±Ρ€Π°Π·Π° RAM-диска initrd Π² UKI ΠΌΠΎΠΆΠ΅Ρ‚ Π±Ρ‹Ρ‚ΡŒ ΡƒΠΏΠ°ΠΊΠΎΠ²Π°Π½Π° ΠΈ вся систСма, Ρ‡Ρ‚ΠΎ позволяСт ΡΠΎΠ·Π΄Π°Π²Π°Ρ‚ΡŒ ΠΏΠΎΠ»Π½ΠΎΡΡ‚ΡŒΡŽ Π²Π΅Ρ€ΠΈΡ„ΠΈΡ†ΠΈΡ€ΠΎΠ²Π°Π½Π½Ρ‹Π΅ систСмныС окруТСния, Π·Π°Π³Ρ€ΡƒΠΆΠ°Π΅ΠΌΡ‹Π΅ Π² ΠΎΠΏΠ΅Ρ€Π°Ρ‚ΠΈΠ²Π½ΡƒΡŽ ΠΏΠ°ΠΌΡΡ‚ΡŒ. UKI-ΠΎΠ±Ρ€Π°Π· оформляСтся Π² Π²ΠΈΠ΄Π΅ исполняСмого Ρ„Π°ΠΉΠ»Π° Π² Ρ„ΠΎΡ€ΠΌΠ°Ρ‚Π΅ PE, ΠΊΠΎΡ‚ΠΎΡ€Ρ‹ΠΉ ΠΌΠΎΠΆΠ΅Ρ‚ Π±Ρ‹Ρ‚ΡŒ Π·Π°Π³Ρ€ΡƒΠΆΠ΅Π½ Π½Π΅ Ρ‚ΠΎΠ»ΡŒΠΊΠΎ ΠΏΡ€ΠΈ ΠΏΠΎΠΌΠΎΡ‰ΠΈ Ρ‚Ρ€Π°Π΄ΠΈΡ†ΠΈΠΎΠ½Π½Ρ‹Ρ… Π·Π°Π³Ρ€ΡƒΠ·Ρ‡ΠΈΠΊΠΎΠ², ΠΈ Π½Π°ΠΏΡ€ΡΠΌΡƒΡŽ Π²Ρ‹Π·Π²Π°Π½ ΠΈΠ· ΠΏΡ€ΠΎΡˆΠΈΠ²ΠΊΠΈ UEFI.

Ukukwazi ukufowuna kwi-UEFI kukuvumela ukuba usebenzise i-digital signature integrity check engabandakanyi kuphela i-kernel, kodwa kunye nemixholo ye-initrd. Kwangaxeshanye, inkxaso yokufowuna ukusuka kwizilayishi zemveli zemveli ikuvumela ukuba ugcine izinto ezinje njengokuhanjiswa kweenguqulelo ezininzi zekernel kunye nokubuyela umva ngokuzenzekelayo kwikernel esebenzayo ukuba iingxaki zichongiwe ngekernel entsha emva kokufaka uhlaziyo.

Π’ настоящСС врСмя Π² Π±ΠΎΠ»ΡŒΡˆΠΈΠ½ΡΡ‚Π²Π΅ дистрибутивов Linux Π² процСссС ΠΈΠ½ΠΈΡ†ΠΈΠ°Π»ΠΈΠ·Π°Ρ†ΠΈΠΈ ΠΈΡΠΏΠΎΠ»ΡŒΠ·ΡƒΠ΅Ρ‚ΡΡ Ρ†Π΅ΠΏΠΎΡ‡ΠΊΠ° Β«ΠΏΡ€ΠΎΡˆΠΈΠ²ΠΊΠ° β†’ завСрСнная Ρ†ΠΈΡ„Ρ€ΠΎΠ²ΠΎΠΉ подписью Microsoft shim-прослойка β†’ Π·Π°Π²Π΅Ρ€Π΅Π½Π½Ρ‹ΠΉ Ρ†ΠΈΡ„Ρ€ΠΎΠ²ΠΎΠΉ подписью дистрибутива Π·Π°Π³Ρ€ΡƒΠ·Ρ‡ΠΈΠΊ GRUB β†’ Π·Π°Π²Π΅Ρ€Π΅Π½Π½ΠΎΠ΅ Ρ†ΠΈΡ„Ρ€ΠΎΠ²ΠΎΠΉ подписью дистрибутива ядро Linux β†’ Π½Π΅ Π·Π°Π²Π΅Ρ€Π΅Π½Π½ΠΎΠ΅ ΠΎΠΊΡ€ΡƒΠΆΠ΅Π½ΠΈΠ΅ initrd β†’ корнСвая Π€Π‘Β». ΠžΡ‚ΡΡƒΡ‚ΡΡ‚Π²ΠΈΠ΅ Π²Π΅Ρ€ΠΈΡ„ΠΈΠΊΠ°Ρ†ΠΈΠΈ initrd Π² Ρ‚Ρ€Π°Π΄ΠΈΡ†ΠΈΠΎΠ½Π½Ρ‹Ρ… дистрибутивах создаёт ΠΏΡ€ΠΎΠ±Π»Π΅ΠΌΡ‹ с Π±Π΅Π·ΠΎΠΏΠ°ΡΠ½ΠΎΡΡ‚ΡŒΡŽ, Ρ‚Π°ΠΊ ΠΊΠ°ΠΊ срСди ΠΏΡ€ΠΎΡ‡Π΅Π³ΠΎ Π² Π΄Π°Π½Π½ΠΎΠΌ ΠΎΠΊΡ€ΡƒΠΆΠ΅Π½ΠΈΠΈ осущСствляСтся ΠΈΠ·Π²Π»Π΅Ρ‡Π΅Π½ΠΈΠ΅ ΠΊΠ»ΡŽΡ‡Π΅ΠΉ для Ρ€Π°ΡΡˆΠΈΡ„Ρ€ΠΎΠ²ΠΊΠΈ ΠΊΠΎΡ€Π½Π΅Π²ΠΎΠΉ Π€Π‘.

Ukuqinisekiswa komfanekiso we-initrd akuxhaswanga kuba le fayile yenziwe kwinkqubo yendawo yomsebenzisi kwaye ayinakuqinisekiswa ngotyikityo lwedijithali lwekhithi yokuhambisa, enzima kakhulu umbutho wokuqinisekisa xa usebenzisa imo yeSecureBoot (ukuqinisekisa i-initrd, i umsebenzisi ufuna ukwenza ezabo izitshixo kwaye azilayishe kwi-firmware ye-UEFI). Ukongezelela, umbutho wangoku we-boot awuvumeli ukusetyenziswa kolwazi oluvela kwi-TPM PCR (iRejista yoLungiselelo lwePlatform) ukulawula ingqibelelo yamacandelo esithuba somsebenzisi ngaphandle kwe-shim, i-grub kunye ne-kernel. Phakathi kweengxaki ezikhoyo, ubunzima bokuhlaziya i-bootloader kunye nokungakwazi ukukhawulela ukufikelela kwizitshixo kwi-TPM kwiinguqulelo ezindala ze-OS eziye zangabalulekanga emva kokufaka ukuhlaziywa nazo zikhankanyiwe.

Iinjongo eziphambili zokwazisa uyilo olutsha lokulayisha zezi:

  • Ukubonelela ngenkqubo ye-boot eqinisekisiwe ngokupheleleyo esuka kwi-firmware ukuya kwindawo yomsebenzisi, eqinisekisa ukunyaniseka kunye nokunyaniseka kwamacandelo alayishwayo.
  • Ukudibanisa izixhobo ezilawulwayo kwiirejista ze-TPM zePCR, ezahlulwe ngumnini.
  • Ukukwazi ukubala kwangaphambili amaxabiso ePCR ngokusekwe kwikernel, initrd, uqwalaselo kunye ne-ID yenkqubo yendawo esetyenziswa ngexesha lokuqalisa.
  • Ukukhuselwa kuhlaselo lokubuyela emva olunxulunyaniswa nokubuyela umva kuguqulelo olusesichengeni lwangaphambili lwenkqubo.
  • Yenza lula kwaye wandise ukuthembeka kohlaziyo.
  • Inkxaso yohlaziyo lwe-OS olungadingi ukuphinda kufakwe isicelo okanye unikezelo lwasekhaya lwezibonelelo ezikhuselweyo zeTPM.
  • Inkqubo ilungele ukuqinisekiswa okude ukuze kuqinisekiswe ukuchaneka kwe-OS elayishiweyo kunye nezicwangciso.
  • Ukukwazi ukuncamathela idata enovakalelo kwizigaba ezithile zokuqalisa, umzekelo, ukukhupha izitshixo zoguqulelo oluntsonkothileyo kwinkqubo yefayile yengcambu kwi TPM.
  • Ukubonelela ngenkqubo ekhuselekileyo, ezenzekelayo, kunye nengahlawulelwayo yomsebenzisi yokuvula izitshixo zokususa uguqulelo lwenkqubo yokwahlula iingcambu.
  • Ukusetyenziswa kweetshiphusi ezixhasa ukucaciswa kwe-TPM 2.0, kunye nokukwazi ukubuyela umva kwiinkqubo ngaphandle kwe-TPM.

umthombo: opennet.ru

Thenga ukusingathwa okuthembekileyo kwiindawo ezinokhuseleko lweDDoS, iiseva zeVPS VDS πŸ”₯ Thenga ukusingathwa kwewebhusayithi okuthembekileyo ngokhuseleko lwe-DDoS, iiseva zeVPS VDS | ProHoster