Lennart Poettering ti ṣe atẹjade igbero kan lati ṣe imudojuiwọn ilana bata ti awọn pinpin Linux, ti o pinnu lati yanju awọn iṣoro ti o wa tẹlẹ ati irọrun iṣeto ti bata ti o ni idaniloju ni kikun, ifẹsẹmulẹ ododo ti ekuro ati agbegbe eto eto. Awọn ayipada ti o nilo lati ṣe imuse faaji tuntun ti wa tẹlẹ ninu koodu koodu ti eto ati ni ipa awọn paati bii systemd-stub, systemd-measure, systemd-cryptenroll, systemd-cryptsetup, systemd-pcrphase, ati systemd-creds.
Awọn iyipada ti a dabaa dinku si ṣiṣẹda aworan kan ti gbogbo agbaye UCI (Aworan Kernel Iṣọkan) ti o ṣajọpọ aworan ekuro Linux, olutọju fun ikojọpọ ekuro lati UEFI (UEFI boot stub) ati agbegbe eto initrd ti kojọpọ sinu iranti, ti a lo fun ibẹrẹ ibẹrẹ ni ipele ṣaaju fifi sori root FS. Dipo aworan disk initrd RAM, gbogbo eto le ṣe akopọ ni UK, gbigba ẹda ti awọn agbegbe eto idaniloju ni kikun ti o kojọpọ sinu Ramu. UKI-image ti wa ni ṣe ni awọn fọọmu ti ohun executable faili ni PE kika, eyi ti o le wa ni kojọpọ ko nikan lilo ibile bootloaders, sugbon ti wa ni taara ti a npe ni lati UEFI famuwia.
Agbara lati pe lati UEFI gba ọ laaye lati lo iyege Ibuwọlu oni nọmba ati ṣayẹwo ifọwọsi ti kii ṣe ekuro nikan, ṣugbọn awọn akoonu inu initrd tun. Ni akoko kanna, atilẹyin fun pipe lati awọn bootloaders ibile gba ọ laaye lati ṣafipamọ iru awọn ẹya bii ifijiṣẹ ti awọn ẹya pupọ ti ekuro ati yiyi pada laifọwọyi si ekuro iṣẹ ni ọran ti awọn iṣoro pẹlu ekuro tuntun ba rii lẹhin fifi imudojuiwọn naa sori ẹrọ.
Lọwọlọwọ, pupọ julọ awọn pinpin Lainos lo pq “famuwia → oni-nọmba wole Microsoft shim Layer → pinpin oni-nọmba fowo si GRUB bootloader → pinpin oni-nọmba fowo si ekuro Linux → agbegbe initrd ti ko fowo si → root FS” ninu ilana ipilẹṣẹ. Aini ijẹrisi initrd ni awọn ipinpinpin ibile ṣẹda awọn iṣoro aabo, nitori, laarin awọn ohun miiran, agbegbe yii n yọ awọn bọtini jade lati decrypt root FS.
Ijeri aworan initrd ko ṣe atilẹyin, nitori pe faili yii ti jẹ ipilẹṣẹ lori eto agbegbe olumulo ati pe ko le jẹ ifọwọsi nipasẹ ibuwọlu oni nọmba ti pinpin, eyiti o ṣe idiju iṣeto ti iṣeduro nigba lilo ipo SecureBoot (lati jẹrisi initrd, olumulo nilo lati ṣe ina awọn bọtini rẹ ki o gbe wọn sinu famuwia UEFI). Ni afikun, agbari bata ti o wa tẹlẹ ko gba laaye lilo alaye lati awọn iforukọsilẹ TPM PCR (Platform Configuration Register) lati ṣakoso iduroṣinṣin ti awọn paati aaye olumulo miiran yatọ si shim, grub, ati ekuro. Lara awọn iṣoro ti o wa tẹlẹ, ilolu ti mimu imudojuiwọn bootloader ati ailagbara lati ni ihamọ iwọle si awọn bọtini ni TPM fun awọn ẹya OS agbalagba ti o ti di alaibamu lẹhin fifi imudojuiwọn naa tun mẹnuba.
Awọn ibi-afẹde akọkọ ti imuse faaji bata tuntun ni:
- Pese ilana igbasilẹ ti a fọwọsi ni kikun, ibora gbogbo awọn ipele lati famuwia si aaye olumulo, ati ifẹsẹmulẹ iwulo ati iduroṣinṣin ti awọn paati ti o gbasilẹ.
- Asopọmọra awọn orisun iṣakoso si awọn iforukọsilẹ TPM PCR pẹlu pipin nipasẹ awọn oniwun.
- Agbara lati ṣe iṣiro awọn iye PCR ti o da lori bata ekuro, initrd, iṣeto ni, ati ID eto agbegbe.
- Idaabobo lodi si awọn ikọlu sẹsẹ ti o ni nkan ṣe pẹlu yiyi pada si ẹya ti o ni ipalara ti tẹlẹ ti eto naa.
- Rọrun ati ilọsiwaju igbẹkẹle ti awọn imudojuiwọn.
- Atilẹyin fun awọn imudojuiwọn OS ti ko nilo atunbere tabi ipese agbegbe ti awọn orisun aabo TPM.
- Imurasilẹ ti eto fun iwe-ẹri latọna jijin lati jẹrisi deede ti OS bootable ati awọn eto.
- Agbara lati so data ifura pọ mọ awọn ipele bata kan, fun apẹẹrẹ, yiyo awọn bọtini fifi ẹnọ kọ nkan fun root FS lati TPM.
- Pese ilana to ni aabo, adaṣe, ati ipalọlọ fun awọn bọtini šiši lati yo awakọ kan pẹlu ipin root kan.
- Lilo awọn eerun ti o ṣe atilẹyin sipesifikesonu TPM 2.0, pẹlu agbara lati ṣubu si awọn eto laisi TPM.
orisun: opennet.ru