Fedora 38 的发布建议实现向 Lennart Potting 先前提出的现代化引导过程过渡的第一阶段,以实现完全验证的引导,涵盖从固件到用户空间的所有阶段,而不仅仅是内核和引导加载程序。 该提案尚未得到 FESCo(Fedora 工程指导委员会)的考虑,该委员会负责 Fedora 发行版开发的技术部分。
用于实现所提出想法的组件已经集成到 systemd 252 中,并且归结为使用在发行版中生成的统一内核映像 UKI(统一内核映像),而不是安装内核包时在本地系统上生成的 initrd 映像基础设施并由发行版进行数字签名。 UKI 将用于从 UEFI(UEFI 引导存根)加载内核的处理程序、Linux 内核映像以及加载到内存中的 initrd 系统环境合并在一个文件中。 当从 UEFI 调用 UKI 映像时,不仅可以检查内核数字签名的完整性和可靠性,还可以检查 initrd 内容的完整性和可靠性,其真实性检查很重要,因为在此环境中解密密钥根 FS 被检索。
由于未来将发生重大变化,实施计划将分为几个阶段。 在第一阶段,UKI 支持将添加到引导加载程序中,并且将开始发布可选的 UKI 映像,该映像将侧重于使用一组有限的组件和驱动程序以及与安装和更新 UKI 相关的工具来引导虚拟机。 在第二和第三阶段,计划不再在内核命令行上传递设置,并停止在 initrd 中存储密钥。
来源: opennet.ru