Προτείνουν τον εκσυγχρονισμό της διαδικασίας εκκίνησης του Linux

Αξιόπιστη εκκίνηση

Η νέα εκκίνηση Linux θα λειτουργήσει καλά στο μέλλον με έμφαση στη στιβαρότητα και την απλότητα.

Lennart Poettering (ο δημιουργός του Systemd) το έκανε γνωστό πρόσφατα μια πρόταση για τον εκσυγχρονισμό της διαδικασίας εκκίνησης των διανομών του Linux, με στόχο την επίλυση υφιστάμενων προβλημάτων και απλοποιήστε την οργάνωση μιας πλήρους επαληθευμένης εκκίνησης, επιβεβαιώνοντας την αυθεντικότητα του πυρήνα και του υποκείμενου περιβάλλοντος συστήματος.

Προτεινόμενες Αλλαγές μειώνονται σε δημιουργία μιας ενιαίας καθολικής εικόνας UKI (Εικόνα ενοποιημένου πυρήνα) που συγχωνεύει την εικόνα του πυρήνα Πρόγραμμα οδήγησης Linux για φόρτωση του πυρήνα από το UEFI (στέλωμα εκκίνησης UEFI) και το περιβάλλον συστήματος initrd φορτώνεται στη μνήμη, χρησιμοποιείται για την αρχική προετοιμασία στο στάδιο πριν από την τοποθέτηση του FS.

Αντί για εικόνα ramdisk initrd, ολόκληρο το σύστημα μπορεί να συσκευαστεί στο UKI, επιτρέποντας τη δημιουργία πλήρως επαληθευμένων περιβαλλόντων συστήματος που φορτώνονται στη μνήμη RAM. Η εικόνα UKI συσκευάζεται ως εκτελέσιμο αρχείο σε μορφή PE, το οποίο όχι μόνο μπορεί να φορτωθεί με παραδοσιακούς φορτωτές εκκίνησης, αλλά μπορεί επίσης να κληθεί απευθείας από το υλικολογισμικό UEFI.

Η δυνατότητα κλήσης από το UEFI επιτρέπει τη χρήση ενός ελέγχου εγκυρότητας και ακεραιότητας ψηφιακής υπογραφής που καλύπτει όχι μόνο τον πυρήνα, αλλά και τα περιεχόμενα του initrd. Ταυτόχρονα, η υποστήριξη για κλήσεις από παραδοσιακούς bootloaders επιτρέπει την αποθήκευση λειτουργιών όπως η παράδοση πολλαπλών εκδόσεων πυρήνα και η αυτόματη επαναφορά σε έναν πυρήνα που λειτουργεί σε περίπτωση που εντοπιστούν προβλήματα με τον νέο πυρήνα μετά την εγκατάσταση της τελευταίας έκδοσης.

Επί του παρόντος, χρησιμοποιούν οι περισσότερες διανομές Linux αλυσίδα "υλικολογισμικό → ψηφιακά υπογεγραμμένο στρώμα Microsoft shim → διανομή ψηφιακής υπογραφής φορτωτής εκκίνησης GRUB → διανομή ψηφιακά υπογεγραμμένος πυρήνας Linux → μη υπογεγραμμένο περιβάλλον initrd → ρίζα FS" στη διαδικασία αρχικοποίησης. Λείπει ο πρώτος έλεγχος σε παραδοσιακές διανομές δημιουργεί προβλήματα ασφάλειας, αφού, μεταξύ άλλων, αυτό το περιβάλλον εξάγει κλειδιά για την αποκρυπτογράφηση της ρίζας FS.

Η επαλήθευση της εικόνας initrd δεν υποστηρίζεται, καθώς αυτό το αρχείο δημιουργείται στο τοπικό σύστημα του χρήστη και δεν μπορεί να πιστοποιηθεί από την ψηφιακή υπογραφή της διανομής, γεγονός που καθιστά πολύ δύσκολη την οργάνωση της επαλήθευσης κατά τη χρήση της λειτουργίας SecureBoot (για την επαλήθευση του initrd, ο χρήστης πρέπει να δημιουργήσει τα κλειδιά σας και να τα φορτώσει σε το υλικολογισμικό UEFI).

Επιπλέον, η υπάρχουσα οργάνωση εκκίνησης δεν επιτρέπει τη χρήση πληροφοριών από τους καταχωρητές TPM PCR (Μητρώο διαμόρφωσης πλατφόρμας) για τον έλεγχο της ακεραιότητας των στοιχείων του userpace εκτός από το shim, το grub και τον πυρήνα. Μεταξύ των υπαρχόντων προβλημάτων, αναφέρεται επίσης η επιπλοκή της ενημέρωσης του bootloader και η αδυναμία περιορισμού της πρόσβασης σε κλειδιά στο TPM για παλαιότερες εκδόσεις του λειτουργικού συστήματος που έχουν καταστεί άσχετες μετά την εγκατάσταση της ενημέρωσης.

Οι κύριοι στόχοι της εφαρμογής η νέα αρχιτεκτονική εκκίνησης:

  • Παρέχετε μια πλήρως επαληθευμένη διαδικασία λήψης, η οποία καλύπτει όλα τα στάδια από το υλικολογισμικό έως τον χώρο χρήστη και επιβεβαιώνοντας την εγκυρότητα και την ακεραιότητα των στοιχείων που έχουν ληφθεί.
  • Σύνδεση ελεγχόμενων πόρων με καταχωρήσεις TPM PCR με διαχωρισμό από τους κατόχους.
  • Δυνατότητα προυπολογισμού τιμών PCR με βάση την εκκίνηση του πυρήνα, το initrd, τη διαμόρφωση και το τοπικό αναγνωριστικό συστήματος.
  • Προστασία από επιθέσεις επαναφοράς που σχετίζονται με την επαναφορά στην προηγούμενη ευάλωτη έκδοση του συστήματος.
  • Απλοποιήστε και βελτιώστε την αξιοπιστία των ενημερώσεων.
  • Υποστήριξη για αναβαθμίσεις λειτουργικού συστήματος που δεν απαιτούν εκ νέου εφαρμογή ή παροχή πόρων που προστατεύονται από TPM τοπικά.
  • Προετοιμασία του συστήματος για απομακρυσμένη πιστοποίηση για επιβεβαίωση της ορθότητας του λειτουργικού συστήματος και της διαμόρφωσης εκκίνησης.
  • Η δυνατότητα προσάρτησης ευαίσθητων δεδομένων σε ορισμένα στάδια εκκίνησης, για παράδειγμα με εξαγωγή κλειδιών κρυπτογράφησης για τη ρίζα FS από το TPM.
  • Παρέχετε μια ασφαλή, αυτόματη και αθόρυβη διαδικασία για το ξεκλείδωμα των κλειδιών για την αποκρυπτογράφηση μιας μονάδας δίσκου με διαμέρισμα root.
  • Η χρήση τσιπ που υποστηρίζουν την προδιαγραφή TPM 2.0, με δυνατότητα επιστροφής σε συστήματα χωρίς TPM.

Οι απαραίτητες αλλαγές για την εφαρμογή της νέας αρχιτεκτονικής περιλαμβάνονται ήδη στη βάση κωδικών του systemd και επηρεάζουν στοιχεία όπως systemd-stub, systemd-measure, systemd-cryptenroll, systemd-cryptsetup, systemd-pcrphase και systemd-creds.

Τελικά αν ενδιαφέρεστε να μάθετε περισσότερα γι 'αυτό, μπορείτε να ελέγξετε τις λεπτομέρειες στο παρακάτω σύνδεσμο.


Ένα σχόλιο, αφήστε το δικό σας

Αφήστε το σχόλιό σας

Η διεύθυνση email σας δεν θα δημοσιευθεί. Τα υποχρεωτικά πεδία σημειώνονται με *

*

*

  1. Υπεύθυνος για τα δεδομένα: AB Internet Networks 2008 SL
  2. Σκοπός των δεδομένων: Έλεγχος SPAM, διαχείριση σχολίων.
  3. Νομιμοποίηση: Η συγκατάθεσή σας
  4. Κοινοποίηση των δεδομένων: Τα δεδομένα δεν θα κοινοποιούνται σε τρίτους, εκτός από νομική υποχρέωση.
  5. Αποθήκευση δεδομένων: Βάση δεδομένων που φιλοξενείται από τα δίκτυα Occentus (ΕΕ)
  6. Δικαιώματα: Ανά πάσα στιγμή μπορείτε να περιορίσετε, να ανακτήσετε και να διαγράψετε τις πληροφορίες σας.

  1.   ναx dijo

    Περισσότερα σκουπίδια από το lennart..