Nad teevad ettepaneku Linuxi alglaadimisprotsessi moderniseerimiseks

Darkcrizt

4 minutit

Usaldusväärne käivitamine

Uus Linuxi alglaadimine töötab hästi ka tulevikus, keskendudes töökindlusele ja lihtsusele.

Lennart Pöttering (Systemdi looja) tegi sellest teada hiljuti ettepanek alglaadimisprotsessi moderniseerimiseks jaotuste arv Linux, eesmärgiga lahendada olemasolevad probleemid ja lihtsustada täielikult kontrollitud alglaadimise korraldamist, kinnitades tuuma ja selle aluseks oleva süsteemikeskkonna autentsust.

Kavandatud muudatused on taandatud ühtse universaalse UKI kuvandi loomine (Unified Kernel Image) mis ühendab kerneli kujutise Linuxi draiver kerneli laadimiseks UEFI-st (UEFI alglaadimise stub) ja mällu laaditud süsteemikeskkond initrd, mida kasutatakse esialgseks lähtestamiseks etapis enne FS-i paigaldamist.

Ramdiski pildi asemel initrd, kogu süsteemi saab pakkida UKI-sse, mis võimaldab luua täielikult kontrollitud süsteemikeskkondi, mis laaditakse RAM-i. UKI-pilt on pakitud PE-vormingus käivitatava failina, mida ei saa laadida ainult traditsiooniliste alglaaduritega, vaid seda saab ka otse UEFI püsivarast välja kutsuda.

Võimalus helistada UEFI-st võimaldab kasutada digitaalallkirja kehtivuse ja terviklikkuse kontrolli mis ei hõlma ainult tuuma, vaid ka initrd sisu. Samal ajal võimaldab traditsiooniliste alglaadurite kõnede tugi salvestada selliseid funktsioone nagu mitme kerneli versiooni tarnimine ja automaatne tagasipööramine töötavale tuumale juhuks, kui pärast uusima versiooni installimist avastatakse probleeme uue kerneliga. Värskendus.

Praegu enamik Linuxi distributsioone kasutab kett "püsivara → digitaalselt allkirjastatud Microsofti vahekiht → digitaalselt allkirjastatud distributsioon GRUB alglaadur → digitaalselt allkirjastatud distributsioon Linuxi kernel → allkirjastamata initrd-keskkond → FS-juur" initsialiseerimisprotsessis. Initrd-i kontroll puudub traditsioonilistes distributsioonides tekitab turvaprobleeme, kuna muu hulgas ekstraheerib see keskkond võtmed FS-i juure dekrüpteerimiseks.

Initrd-pildi kontrollimist ei toetata, kuna see fail genereeritakse kasutaja kohalikus süsteemis ja seda ei saa sertifitseerida levitaja digitaalallkirjaga, mistõttu on SecureBoot režiimi kasutamisel kontrollimise korraldamine väga keeruline (initrd-i kontrollimiseks peab kasutaja genereerima teie võtmed ja laadima need UEFI püsivara).

Lisaks olemasolev alglaadimisorganisatsioon ei võimalda kasutada TPM PCR-registrite teavet (Platform Configuration Registry), et kontrollida muude kasutajaruumi komponentide, välja arvatud shim, grub ja kernel, terviklikkust. Olemasolevatest probleemidest mainitakse ka alglaaduri värskendamise keerukust ja suutmatust piirata juurdepääsu TPM-i võtmetele operatsioonisüsteemi vanematele versioonidele, mis on pärast värskenduse installimist muutunud ebaoluliseks.

Rakendamise peamised eesmärgid uus alglaadimisarhitektuur:

  • Tagage täielikult kontrollitud allalaadimisprotsess, mis hõlmab kõiki etappe püsivarast kasutajaruumini ning kinnitab allalaaditud komponentide kehtivust ja terviklikkust.
  • Kontrollitud ressursside sidumine TPM PCR registritega omanike poolt eraldamisega.
  • Võimalus eelnevalt arvutada PCR väärtusi kerneli alglaadimise, initrd-i, konfiguratsiooni ja kohaliku süsteemi ID põhjal.
  • Kaitse tagasipööramisrünnete eest, mis on seotud süsteemi eelmisele haavatavale versioonile naasmisega.
  • Lihtsustage ja parandage värskenduste usaldusväärsust.
  • Tugi OS-i versiooniuuendustele, mis ei nõua TPM-iga kaitstud ressursside uuesti rakendamist ega loomist.
  • Süsteemi ettevalmistamine kaugsertifitseerimiseks, et kontrollida operatsioonisüsteemi ja alglaadimise konfiguratsiooni õigsust.
  • Võimalus lisada teatud alglaadimisetappidele tundlikke andmeid, näiteks eraldades TPM-ist FS-i juure krüpteerimisvõtmed.
  • Tagage juurpartitsiooniga draivi dekrüpteerimiseks turvaline, automaatne ja vaikne protsess võtmete avamiseks.
  • TPM 2.0 spetsifikatsiooni toetavate kiipide kasutamine koos võimalusega pöörduda tagasi ilma TPM-ita süsteemidesse.

Vajalikud muudatused uue arhitektuuri rakendamiseks on juba systemd koodibaasi kaasatud ja mõjutavad selliseid komponente nagu systemd-stub, systemd-measure, systemd-cryptenroll, systemd-cryptenroll, systemd-pcrphase ja systemd-creds.

Lõpuks kui olete huvitatud sellest rohkem teada saama, saate üksikasju vaadata järgmine link.


Jäta oma kommentaar

Sinu e-postiaadressi ei avaldata. Kohustuslikud väljad on tähistatud *

*

*

  1. Andmete eest vastutav: AB Internet Networks 2008 SL
  2. Andmete eesmärk: Rämpsposti kontrollimine, kommentaaride haldamine.
  3. Seadustamine: teie nõusolek
  4. Andmete edastamine: andmeid ei edastata kolmandatele isikutele, välja arvatud juriidilise kohustuse alusel.
  5. Andmete salvestamine: andmebaas, mida haldab Occentus Networks (EL)
  6. Õigused: igal ajal saate oma teavet piirata, taastada ja kustutada.

  1.   luix DIJO
    tagasi 2 aastat

    Lenartilt veel prügi..

    Vasta luixile