Fedora 38 的發佈建議實現向 Lennart Potting 先前提出的現代化引導過程過渡的第一階段,以實現完全驗證的引導,涵蓋從韌體到用戶空間的所有階段,而不僅僅是核心和引導程式。 該提案尚未得到 FESCo(Fedora 工程指導委員會)的考慮,該委員會負責 Fedora 發行版開發的技術部分。
用於實現所提出想法的元件已經整合到 systemd 252 中,並且歸結為使用在發行版中產生的統一核心映像 UKI(統一核心映像),而不是安裝核心套件時在本機系統上產生的 initrd 映像基礎設施並由發行版進行數位簽章。 UKI 將用於從 UEFI(UEFI 開機存根)載入核心的處理程序、Linux 核心映像以及載入到記憶體中的 initrd 系統環境合併在一個檔案中。 當從 UEFI 呼叫 UKI 映像時,不僅可以檢查核心數位簽章的完整性和可靠性,還可以檢查 initrd 內容的完整性和可靠性,其真實性檢查很重要,因為在此環境中解密金鑰根FS被檢索。
由於未來將發生重大變化,實施計劃將分為幾個階段。 在第一階段,UKI 支援將添加到引導程式中,並且將開始發布可選的UKI 映像,該映像將側重於使用一組有限的元件和驅動程式以及與安裝和更新UKI 相關的工具來引導虛擬機。 在第二和第三階段,計劃不再在核心命令列上傳遞設置,並停止在 initrd 中儲存金鑰。
來源: opennet.ru