वे Linux बूट प्रक्रिया को आधुनिक बनाने का प्रस्ताव करते हैं

Darkcrizt

4 मिनट

भरोसे का बूट

नया लिनक्स बूट भविष्य में मजबूती और सरलता पर ध्यान देने के साथ अच्छा काम करेगा।

लेन्नर्ट पोइटरिंग (सिस्टमड के निर्माता) रिहा हाल ही में बूट प्रक्रिया के आधुनिकीकरण का प्रस्ताव वितरण के मौजूदा समस्याओं को हल करने के उद्देश्य से लिनक्स के और कर्नेल और अंतर्निहित सिस्टम वातावरण की प्रामाणिकता की पुष्टि करते हुए, एक पूर्ण सत्यापित बूट के संगठन को सरल बनाएं।

प्रस्तावित परिवर्तन कम कर दिया जाता है एकल सार्वभौमिक यूकेआई छवि का निर्माण (एकीकृत कर्नेल छवि) जो कर्नेल छवि को मर्ज करता है UEFI (UEFI बूट स्टब) से कर्नेल लोड करने के लिए Linux ड्राइवर और सिस्टम वातावरण initrd स्मृति में लोड किया गया, एफएस को माउंट करने से पहले चरण में प्रारंभिक आरंभीकरण के लिए उपयोग किया जाता है।

रैमडिस्क छवि के बजाय initrd, पूरे सिस्टम को यूकेआई में पैक किया जा सकता है, पूरी तरह से सत्यापित सिस्टम वातावरण के निर्माण की अनुमति देता है जो RAM में लोड होते हैं। यूकेआई छवि को पीई प्रारूप में एक निष्पादन योग्य फ़ाइल के रूप में पैक किया गया है, जिसे न केवल पारंपरिक बूटलोडर के साथ लोड किया जा सकता है, बल्कि इसे सीधे यूईएफआई फर्मवेयर से भी कहा जा सकता है।

यूईएफआई से कॉल करने की क्षमता डिजिटल हस्ताक्षर वैधता और अखंडता जांच के उपयोग की अनुमति देती है जो न केवल कर्नेल, बल्कि initrd की सामग्री को भी कवर करता है। साथ ही, पारंपरिक बूटलोडर्स से कॉल के लिए समर्थन कई कर्नेल संस्करण वितरित करने और नवीनतम संस्करण को स्थापित करने के बाद नए कर्नेल के साथ समस्याओं का पता चलने पर स्वचालित रूप से कार्यशील कर्नेल में वापस रोल करने जैसी सुविधाओं को सहेजने की अनुमति देता है।

वर्तमान में, अधिकांश लिनक्स वितरण उपयोग करते हैं जंजीर "फर्मवेयर → डिजिटल रूप से हस्ताक्षरित Microsoft शिम लेयर → डिजिटल रूप से हस्ताक्षरित वितरण GRUB बूट लोडर → डिजिटल रूप से हस्ताक्षरित वितरण लिनक्स कर्नेल → अहस्ताक्षरित initrd वातावरण → FS रूट" आरंभीकरण प्रक्रिया में। गुम initrd चेक पारंपरिक वितरण में सुरक्षा समस्याएं पैदा करता है, चूंकि, अन्य बातों के अलावा, यह वातावरण FS रूट को डिक्रिप्ट करने के लिए कुंजियाँ निकालता है।

initrd छवि का सत्यापन समर्थित नहीं है, चूंकि यह फ़ाइल उपयोगकर्ता के स्थानीय सिस्टम पर उत्पन्न होती है और वितरण के डिजिटल हस्ताक्षर द्वारा प्रमाणित नहीं की जा सकती है, जिससे सिक्योरबूट मोड का उपयोग करते समय सत्यापन को व्यवस्थित करना बहुत मुश्किल हो जाता है (initrd को सत्यापित करने के लिए, उपयोगकर्ता को आपकी कुंजी उत्पन्न करने और उन्हें लोड करने की आवश्यकता होती है) यूईएफआई फर्मवेयर)।

इसके अलावा, मौजूदा बूट संगठन टीपीएम पीसीआर रजिस्टरों से जानकारी के उपयोग की अनुमति नहीं देता है (प्लेटफ़ॉर्म कॉन्फ़िगरेशन रजिस्ट्री) शिम, ग्रब और कर्नेल के अलावा अन्य उपयोगकर्ता स्थान घटकों की अखंडता को नियंत्रित करने के लिए। मौजूदा समस्याओं में, बूटलोडर को अद्यतन करने की जटिलता और ऑपरेटिंग सिस्टम के पुराने संस्करणों के लिए टीपीएम में कुंजियों तक पहुंच को प्रतिबंधित करने में असमर्थता जो अद्यतन स्थापित करने के बाद अप्रासंगिक हो गई हैं, का भी उल्लेख किया गया है।

लागू करने के मुख्य उद्देश्य नया बूट आर्किटेक्चर:

  • फर्मवेयर से उपयोगकर्ता स्थान तक सभी चरणों को कवर करते हुए, और डाउनलोड किए गए घटकों की वैधता और अखंडता की पुष्टि करते हुए, पूरी तरह से सत्यापित डाउनलोड प्रक्रिया प्रदान करें।
  • टीपीएम पीसीआर रजिस्टरों को नियंत्रित संसाधनों को मालिकों द्वारा अलग करने के साथ जोड़ना।
  • कर्नेल बूट, initrd, कॉन्फ़िगरेशन और स्थानीय सिस्टम आईडी के आधार पर PCR मानों को पूर्व-गणना करने की क्षमता।
  • सिस्टम के पिछले कमजोर संस्करण पर वापस लौटने से जुड़े रोलबैक हमलों से सुरक्षा।
  • अद्यतनों की विश्वसनीयता को सरल और सुधारें।
  • OS उन्नयन के लिए समर्थन जिसके लिए स्थानीय रूप से TPM-संरक्षित संसाधनों को पुन: लागू करने या प्रावधान करने की आवश्यकता नहीं है।
  • ऑपरेटिंग सिस्टम और बूट कॉन्फ़िगरेशन की शुद्धता की पुष्टि करने के लिए दूरस्थ प्रमाणन के लिए सिस्टम तैयार करना।
  • कुछ बूट चरणों में संवेदनशील डेटा संलग्न करने की क्षमता, उदाहरण के लिए टीपीएम से एफएस रूट के लिए एन्क्रिप्शन कुंजी निकालने के द्वारा।
  • रूट विभाजन के साथ ड्राइव को डिक्रिप्ट करने के लिए कुंजी अनलॉक करने के लिए एक सुरक्षित, स्वचालित और मूक प्रक्रिया प्रदान करें।
  • चिप्स का उपयोग जो टीपीएम 2.0 विनिर्देश का समर्थन करता है, बिना टीपीएम के सिस्टम में वापस आने की क्षमता के साथ।

आवश्यक परिवर्तन नई वास्तुकला को लागू करने के लिए सिस्टमड कोडबेस में पहले से ही शामिल हैं और systemd-stub, systemd-measure, systemd-cryptenroll, systemd-cryptsetup, systemd-pcrphase, और systemd-creds जैसे घटकों को प्रभावित करते हैं।

अंत में यदि आप इसके बारे में अधिक जानने में रुचि रखते हैं, आप में विवरण देख सकते हैं निम्नलिखित लिंक।


अपनी टिप्पणी दर्ज करें

आपका ईमेल पता प्रकाशित नहीं किया जाएगा। आवश्यक फ़ील्ड के साथ चिह्नित कर रहे हैं *

*

*

  1. डेटा के लिए जिम्मेदार: एबी इंटरनेट नेटवर्क 2008 SL
  2. डेटा का उद्देश्य: नियंत्रण स्पैम, टिप्पणी प्रबंधन।
  3. वैधता: आपकी सहमति
  4. डेटा का संचार: डेटा को कानूनी बाध्यता को छोड़कर तीसरे पक्ष को संचार नहीं किया जाएगा।
  5. डेटा संग्रहण: ऑकेंटस नेटवर्क्स (EU) द्वारा होस्ट किया गया डेटाबेस
  6. अधिकार: किसी भी समय आप अपनी जानकारी को सीमित, पुनर्प्राप्त और हटा सकते हैं।

  1.   लुइक्स कहा
    पूर्व 2 साल

    लेनार्ट से अधिक कचरा ..

    उत्तर luix को