Ata propozojnë modernizimin e procesit të nisjes së Linux

Darkcrizt

Minuta 4

Boot i besuar

Boot e re Linux do të funksionojë mirë në të ardhmen me fokus në qëndrueshmërinë dhe thjeshtësinë.

Poeting Lennart (krijuesi i Systemd) e bëri të njohur së fundmi një propozim për të modernizuar procesin e nisjes të shpërndarjeve të Linux-it, me qëllim zgjidhjen e problemeve ekzistuese dhe thjeshtoni organizimin e një boot të plotë të verifikuar, duke konfirmuar vërtetësinë e kernelit dhe mjedisin themelor të sistemit.

Ndryshimet e propozuara janë reduktuar në krijimi i një imazhi të vetëm universal UKI (Imazhi i unifikuar i kernelit) e cila bashkon imazhin e kernelit Drejtues Linux për të ngarkuar kernelin nga UEFI (cung boot UEFI) dhe mjedisi i sistemit initrd ngarkohet në memorie, përdoret për inicializimin fillestar në fazën përpara montimit të FS.

Në vend të një imazhi ramdisk initrd, i gjithë sistemi mund të paketohet në UKI, duke lejuar krijimin e mjediseve të sistemit plotësisht të verifikuar që janë të ngarkuar në RAM. Imazhi UKI paketohet si një skedar i ekzekutueshëm në formatin PE, i cili jo vetëm që mund të ngarkohet me ngarkues tradicionalë, por gjithashtu mund të thirret drejtpërdrejt nga firmware UEFI.

Aftësia për të telefonuar nga UEFI lejon përdorimin e një kontrolli të vlefshmërisë dhe integritetit të nënshkrimit dixhital e cila mbulon jo vetëm bërthamën, por edhe përmbajtjen e initrd. Në të njëjtën kohë, mbështetja për thirrjet nga ngarkuesit tradicionalë të ngarkimit lejon ruajtjen e veçorive të tilla si shpërndarja e versioneve të shumëfishta të kernelit dhe rikthimi automatikisht në një kernel funksional në rast se zbulohen probleme me kernelin e ri pas instalimit të përditësimit më të fundit.

Aktualisht, shumica e shpërndarjeve Linux përdorin zinxhir "firmware → Microsoft shim shtresa e nënshkruar në mënyrë dixhitale → ngarkues i nisjes GRUB me nënshkrim dixhital → kernel Linux shpërndarje e nënshkruar dixhitale → mjedis initrd i panënshkruar → rrënjë FS" në procesin e inicializimit. Mungon kontrolli i parë në shpërndarjet tradicionale krijon probleme sigurie, pasi, ndër të tjera, ky mjedis nxjerr çelësa për të deshifruar rrënjën FS.

Verifikimi i imazhit initrd nuk mbështetet, meqenëse ky skedar gjenerohet në sistemin lokal të përdoruesit dhe nuk mund të certifikohet nga nënshkrimi dixhital i shpërndarjes, gjë që e bën shumë të vështirë organizimin e verifikimit kur përdorni modalitetin SecureBoot (për të verifikuar initrd, përdoruesi duhet të gjenerojë çelësat tuaj dhe t'i ngarkojë ato në firmware UEFI).

Përveç kësaj, organizata ekzistuese e nisjes nuk lejon përdorimin e informacionit nga regjistrat TPM PCR (Regjistri i konfigurimit të platformës) për të kontrolluar integritetin e komponentëve të hapësirës së përdoruesit, përveç shim, grub dhe kernel. Ndër problemet ekzistuese, përmendet edhe ndërlikimi i përditësimit të ngarkuesit dhe pamundësia për të kufizuar aksesin në çelësat në TPM për versionet më të vjetra të sistemit operativ që janë bërë të parëndësishme pas instalimit të përditësimit.

Objektivat kryesore të zbatimit arkitektura e re e çizmeve:

  • Siguroni një proces shkarkimi plotësisht të verifikuar, duke mbuluar të gjitha fazat nga firmware në hapësirën e përdoruesit dhe duke konfirmuar vlefshmërinë dhe integritetin e komponentëve të shkarkuar.
  • Lidhja e burimeve të kontrolluara me regjistrat TPM PCR me ndarje nga pronarët.
  • Aftësia për të llogaritur paraprakisht vlerat e PCR bazuar në nisjen e kernelit, initrd, konfigurimin dhe ID-në e sistemit lokal.
  • Mbrojtje kundër sulmeve të kthimit të lidhura me kthimin në versionin e mëparshëm të cenueshëm të sistemit.
  • Thjeshtoni dhe përmirësoni besueshmërinë e përditësimeve.
  • Mbështetje për përmirësimet e OS që nuk kërkojnë riaplikim ose sigurim të burimeve të mbrojtura nga TPM në nivel lokal.
  • Përgatitja e sistemit për certifikim në distancë për të konfirmuar korrektësinë e sistemit operativ dhe konfigurimin e nisjes.
  • Aftësia për të bashkangjitur të dhëna të ndjeshme në faza të caktuara të nisjes, për shembull duke nxjerrë çelësat e enkriptimit për rrënjën FS nga TPM.
  • Siguroni një proces të sigurt, automatik dhe të heshtur për të zhbllokuar çelësat për të deshifruar një disk me një ndarje rrënjë.
  • Përdorimi i çipave që mbështesin specifikimin TPM 2.0, me aftësinë për t'u kthyer në sisteme pa TPM.

Ndryshimet e nevojshme për të zbatuar arkitekturën e re janë përfshirë tashmë në bazën e kodeve systemd dhe ndikojnë në komponentë të tillë si systemd-stub, systemd-measure, systemd-cryptenroll, systemd-cryptsetup, systemd-pcrphase dhe systemd-creds.

Më në fund nëse jeni të interesuar të dini më shumë për të, ju mund të kontrolloni detajet në lidhja vijuese.


Lini komentin tuaj

Adresa juaj e emailit nuk do të publikohet. Fusha e kërkuar janë shënuar me *

*

*

  1. Përgjegjës për të dhënat: AB Internet Networks 2008 SL
  2. Qëllimi i të dhënave: Kontrolloni SPAM, menaxhimin e komenteve.
  3. Legjitimimi: Pëlqimi juaj
  4. Komunikimi i të dhënave: Të dhënat nuk do t'u komunikohen palëve të treta përveç me detyrim ligjor.
  5. Ruajtja e të dhënave: Baza e të dhënave e organizuar nga Occentus Networks (BE)
  6. Të drejtat: Në çdo kohë mund të kufizoni, rikuperoni dhe fshini informacionin tuaj.

  1.   luix dijo
    më parë Vjet 2

    Më shumë mbeturina nga lennart..

    Përgjigju luix