Fedora 38 的發佈建議實現向 Lennart Potting 先前提出的現代化引導過程過渡的第一階段,以實現完全驗證的引導,涵蓋從韌體到用戶空間的所有階段,而不僅僅是核心和引導程式。 該提案尚未得到 FESCo(Fedora 工程指導委員會)的考慮,該委員會負責 Fedora 發行版開發的技術部分。
實現該方案的元件已整合到 systemd 252 中,其核心思想是使用由發行版基礎設施產生並經發行版數位簽章的統一核心鏡像 (UKI),而不是在核心包安裝期間在本地系統上產生的 initrd 鏡像。 UKI 將用於從 UEFI 載入核心的處理程序(UEFI 啟動存根)和核心鏡像合併到一個檔案中。 Linux initrd 系統環境已載入到記憶體中。從 UEFI 載入 UKI 映像檔時,可以使用數位簽章驗證核心和 initrd 內容的完整性和真實性。驗證 initrd 至關重要,因為解密根檔案系統的金鑰就位於此環境中。
由於即將進行重大變更,此次更新計畫分幾個階段進行。第一階段,將在引導程式中新增 UKI 支持,並發布一個可選的 UKI 鏡像,重點在於引導功能。 虛擬機 目前僅包含有限的組件和驅動程序,以及與 UKI 安裝和更新相關的工具。在第二和第三階段,我們計劃消除透過核心命令列傳遞設定的需求,並停止在 initrd 中儲存金鑰。
來源: opennet.ru
