નવું Linux બૂટ મજબૂતાઈ અને સરળતા પર ધ્યાન કેન્દ્રિત કરીને ભવિષ્યમાં સારી રીતે કામ કરશે.
લેનોર્ટ કવિતા (Systemd ના નિર્માતા) તેને જાણીતું બનાવ્યું તાજેતરમાં બુટ પ્રક્રિયાને આધુનિક બનાવવાની દરખાસ્ત વિતરણો Linux ના, હાલની સમસ્યાઓ ઉકેલવાના ઉદ્દેશ્ય સાથે અને કર્નલની અધિકૃતતા અને અંતર્ગત સિસ્ટમ પર્યાવરણની પુષ્ટિ કરીને, સંપૂર્ણ ચકાસાયેલ બુટના સંગઠનને સરળ બનાવો.
સૂચિત ફેરફારો સુધી ઘટાડવામાં આવે છે એક સાર્વત્રિક UKI છબીની રચના (યુનિફાઇડ કર્નલ છબી) જે કર્નલ ઈમેજને મર્જ કરે છે UEFI (UEFI બૂટ સ્ટબ) માંથી કર્નલ લોડ કરવા માટે Linux ડ્રાઇવર અને સિસ્ટમ પર્યાવરણ initrd મેમરીમાં લોડ થાય છે, FS માઉન્ટ કરતા પહેલા સ્ટેજ પર પ્રારંભિક આરંભ માટે વપરાય છે.
રેમડિસ્ક ઇમેજને બદલે initrd, સમગ્ર સિસ્ટમ UKI માં પેક કરી શકાય છે, RAM માં લોડ થયેલ સંપૂર્ણ ચકાસાયેલ સિસ્ટમ વાતાવરણ બનાવવાની મંજૂરી આપે છે. UKI ઇમેજને PE ફોર્મેટમાં એક્ઝિક્યુટેબલ ફાઇલ તરીકે પેક કરવામાં આવી છે, જે માત્ર પરંપરાગત બુટલોડર સાથે જ લોડ કરી શકાતી નથી, પરંતુ UEFI ફર્મવેરથી સીધી કૉલ પણ કરી શકાય છે.
UEFI થી કૉલ કરવાની ક્ષમતા ડિજિટલ હસ્તાક્ષરની માન્યતા અને અખંડિતતા તપાસનો ઉપયોગ કરવાની મંજૂરી આપે છે જે માત્ર કર્નલને જ નહીં, પણ initrd ના સમાવિષ્ટોને પણ આવરી લે છે. તે જ સમયે, પરંપરાગત બુટલોડર્સ તરફથી કૉલ્સ માટે સપોર્ટ, નવીનતમ સંસ્કરણને ઇન્સ્ટોલ કર્યા પછી નવા કર્નલ સાથે સમસ્યાઓ શોધવામાં આવે તો બહુવિધ કર્નલ સંસ્કરણો વિતરિત કરવા અને કાર્યકારી કર્નલ પર આપમેળે પાછા ફરવા જેવી સુવિધાઓને સાચવવાની મંજૂરી આપે છે. અપડેટ.
હાલમાં, મોટાભાગના Linux વિતરણો ઉપયોગ કરે છે સાંકળ "ફર્મવેર → ડિજિટલી હસ્તાક્ષરિત માઈક્રોસોફ્ટ શિમ સ્તર → ડિજિટલી હસ્તાક્ષરિત વિતરણ GRUB બુટ લોડર → ડિજિટલી હસ્તાક્ષરિત વિતરણ Linux કર્નલ → સહી વિનાનું initrd પર્યાવરણ → FS રૂટ" પ્રારંભિક પ્રક્રિયામાં. initrd ચેક ખૂટે છે પરંપરાગત વિતરણોમાં સુરક્ષા સમસ્યાઓ ઊભી કરે છે, કારણ કે, અન્ય વસ્તુઓની વચ્ચે, આ પર્યાવરણ FS રુટને ડિક્રિપ્ટ કરવા માટે કીઓ કાઢે છે.
initrd ઈમેજની ચકાસણી સપોર્ટેડ નથી, કારણ કે આ ફાઇલ વપરાશકર્તાની સ્થાનિક સિસ્ટમ પર જનરેટ કરવામાં આવી છે અને વિતરણના ડિજિટલ હસ્તાક્ષર દ્વારા પ્રમાણિત કરી શકાતી નથી, જે SecureBoot મોડનો ઉપયોગ કરતી વખતે ચકાસણીને ગોઠવવાનું ખૂબ જ મુશ્કેલ બનાવે છે (initrd ને ચકાસવા માટે, વપરાશકર્તાને તમારી કીઓ જનરેટ કરવાની અને તેને લોડ કરવાની જરૂર છે. UEFI ફર્મવેર).
ઉપરાંત, હાલની બુટ સંસ્થા TPM PCR રજિસ્ટરમાંથી માહિતીનો ઉપયોગ કરવાની મંજૂરી આપતી નથી (પ્લેટફોર્મ કન્ફિગરેશન રજિસ્ટ્રી) શિમ, ગ્રબ અને કર્નલ સિવાયના યુઝરસ્પેસ ઘટકોની અખંડિતતાને નિયંત્રિત કરવા માટે. હાલની સમસ્યાઓમાં, બુટલોડરને અપડેટ કરવાની ગૂંચવણ અને ઓપરેટિંગ સિસ્ટમના જૂના સંસ્કરણો માટે TPM માં કીની ઍક્સેસને પ્રતિબંધિત કરવામાં અસમર્થતા કે જે અપડેટ ઇન્સ્ટોલ કર્યા પછી અપ્રસ્તુત બની ગયા છે તેનો પણ ઉલ્લેખ છે.
અમલીકરણના મુખ્ય ઉદ્દેશ્યો નવું બૂટ આર્કિટેક્ચર:
- ફર્મવેરથી યુઝર સ્પેસ સુધીના તમામ તબક્કાઓને આવરી લેતી અને ડાઉનલોડ કરેલ ઘટકોની માન્યતા અને અખંડિતતાની પુષ્ટિ કરતી, સંપૂર્ણ ચકાસાયેલ ડાઉનલોડ પ્રક્રિયા પ્રદાન કરો.
- નિયંત્રિત સંસાધનોને TPM PCR સાથે લિંક કરવાથી માલિકો દ્વારા વિભાજન થાય છે.
- કર્નલ બૂટ, initrd, રૂપરેખાંકન અને સ્થાનિક સિસ્ટમ ID પર આધારિત PCR મૂલ્યોની પૂર્વ ગણતરી કરવાની ક્ષમતા.
- સિસ્ટમના અગાઉના નબળા સંસ્કરણ પર પાછા ફરવા સાથે સંકળાયેલ રોલબેક હુમલાઓ સામે રક્ષણ.
- અપડેટ્સની વિશ્વસનીયતાને સરળ અને બહેતર બનાવો.
- OS અપગ્રેડ માટે સપોર્ટ કે જેને સ્થાનિક રીતે TPM-સંરક્ષિત સંસાધનોને ફરીથી લાગુ કરવાની અથવા જોગવાઈ કરવાની જરૂર નથી.
- ઑપરેટિંગ સિસ્ટમ અને બૂટ રૂપરેખાંકનની શુદ્ધતાની પુષ્ટિ કરવા માટે રિમોટ સર્ટિફિકેશન માટે સિસ્ટમ તૈયાર કરી રહ્યું છે.
- ચોક્કસ બુટ તબક્કામાં સંવેદનશીલ ડેટાને જોડવાની ક્ષમતા, ઉદાહરણ તરીકે TPM માંથી FS રૂટ માટે એન્ક્રિપ્શન કીઓ કાઢીને.
- રુટ પાર્ટીશન સાથે ડ્રાઇવને ડિક્રિપ્ટ કરવા માટે કીને અનલૉક કરવા માટે સલામત, સ્વચાલિત અને શાંત પ્રક્રિયા પ્રદાન કરો.
- ચિપ્સનો ઉપયોગ જે TPM 2.0 સ્પષ્ટીકરણને સમર્થન આપે છે, જેમાં TPM વગર સિસ્ટમમાં પાછા આવવાની ક્ષમતા છે.
જરૂરી ફેરફારો નવા આર્કિટેક્ચરને અમલમાં મૂકવા માટે પહેલાથી જ systemd કોડબેઝમાં સામેલ છે અને ઘટકોને અસર કરે છે જેમ કે systemd-stub, systemd-measure, systemd-cryptenroll, systemd-cryptsetup, systemd-pcrphase, અને systemd-creds.
છેલ્લે જો તમને તેના વિશે વધુ જાણવામાં રસ છે, તમે માં વિગતો ચકાસી શકો છો નીચેની કડી
લેનાર્ટમાંથી વધુ કચરો..