Linux önyükleme sürecini modernleştirmeyi teklif ediyorlar

Darkcrizt

4 minutos

Güvenilir Önyükleme

Yeni Linux önyüklemesi, sağlamlık ve basitliğe odaklanarak gelecekte iyi çalışacak.

Lennart Şiir Yazımı (Systemd'nin yaratıcısı) bilinir kıldı son günlerde önyükleme sürecini modernize etmek için bir teklif dağılımların Mevcut sorunları çözmek amacıyla Linux'un ve tam doğrulanmış önyüklemenin organizasyonunu basitleştirerek, çekirdeğin ve temel sistem ortamının gerçekliğini doğrular.

Önerilen değişiklikler indirgenir tek bir evrensel UKI imajının oluşturulması (Birleşik Çekirdek Görüntüsü) çekirdek görüntüsünü birleştiren Çekirdeği UEFI'den yüklemek için Linux sürücüsü (UEFI önyükleme saplaması) ve belleğe yüklenen sistem ortamı initrd, FS'yi monte etmeden önceki aşamada ilk başlatma için kullanılır.

Bir ramdisk görüntüsü yerine başlangıç, tüm sistem UKI'de paketlenebilir, RAM'e yüklenen tam olarak doğrulanmış sistem ortamlarının oluşturulmasına izin verir. UKI görüntüsü, yalnızca geleneksel önyükleyicilerle yüklenemeyen, aynı zamanda doğrudan UEFI belleniminden çağrılabilen PE biçiminde yürütülebilir bir dosya olarak paketlenir.

UEFI'den arama yeteneği, dijital imza geçerliliği ve bütünlük kontrolünün kullanılmasına izin verir sadece çekirdeği değil, aynı zamanda initrd'nin içeriğini de kapsar. Aynı zamanda, geleneksel önyükleyicilerden gelen çağrılar için destek, en son çekirdek güncellemesi yüklendikten sonra yeni çekirdekle ilgili sorunların tespit edilmesi durumunda, birden çok çekirdek sürümü teslim etme ve otomatik olarak çalışan bir çekirdeğe geri dönme gibi özelliklerin kaydedilmesine olanak tanır.

Şu anda, çoğu Linux dağıtımı kullanır Zincir "bellenim → dijital olarak imzalanmış Microsoft şim katmanı → dijital olarak imzalanmış dağıtım GRUB önyükleyici → dijital olarak imzalanmış dağıtım Linux çekirdeği → imzasız initrd ortamı → FS kökü" başlatma sürecinde. initrd denetimi eksik geleneksel dağıtımlarda güvenlik sorunları yaratır, çünkü diğer şeylerin yanı sıra, bu ortam FS kökünün şifresini çözmek için anahtarları çıkarır.

initrd görüntüsünün doğrulanması desteklenmiyor, bu dosya kullanıcının yerel sisteminde oluşturulduğundan ve dağıtımın dijital imzası tarafından onaylanamadığından, bu da SecureBoot modunu kullanırken doğrulamayı düzenlemeyi çok zorlaştırır (initrd'yi doğrulamak için kullanıcının anahtarlarınızı oluşturması ve bunları UEFI bellenimi).

Buna ek olarak, mevcut önyükleme organizasyonu, TPM PCR kayıtlarından gelen bilgilerin kullanımına izin vermiyor Shim, grub ve kernel dışındaki kullanıcı alanı bileşenlerinin bütünlüğünü kontrol etmek için (Platform Configuration Registry). Mevcut sorunlar arasında önyükleyiciyi güncellemenin karmaşıklığı ve güncellemeyi yükledikten sonra alakasız hale gelen işletim sisteminin eski sürümleri için TPM'deki anahtarlara erişimin kısıtlanamaması da belirtiliyor.

uygulanmasının temel amaçları yeni önyükleme mimarisi:

  • Donanım yazılımından kullanıcı alanına kadar tüm aşamaları kapsayan ve indirilen bileşenlerin geçerliliğini ve bütünlüğünü onaylayan tam olarak doğrulanmış bir indirme işlemi sağlayın.
  • Kontrol edilen kaynakların sahiplerine göre ayrılarak TPM PCR kayıtlarına bağlanması.
  • Çekirdek önyükleme, initrd, yapılandırma ve yerel sistem kimliğine dayalı olarak PCR değerlerini önceden hesaplama yeteneği.
  • Sistemin önceki savunmasız sürümüne geri dönmeyle ilişkili geri alma saldırılarına karşı koruma.
  • Güncelleştirmelerin güvenilirliğini basitleştirin ve iyileştirin.
  • TPM korumalı kaynakların yerel olarak yeniden uygulanmasını veya sağlanmasını gerektirmeyen işletim sistemi yükseltmeleri için destek.
  • İşletim sisteminin ve önyükleme yapılandırmasının doğruluğunu onaylamak için sistemi uzaktan sertifikaya hazırlama.
  • Örneğin, TPM'den FS kökü için şifreleme anahtarlarını ayıklayarak hassas verileri belirli önyükleme aşamalarına ekleme yeteneği.
  • Kök bölümü olan bir sürücünün şifresini çözmek için anahtarların kilidini açmak için güvenli, otomatik ve sessiz bir işlem sağlayın.
  • TPM'siz sistemlere geri dönme yeteneği ile TPM 2.0 spesifikasyonunu destekleyen çiplerin kullanımı.

gerekli değişiklikler yeni mimariyi uygulamak için systemd kod tabanına zaten dahil edilmiştir ve systemd-stub, systemd-measure, systemd-cryptenroll, systemd-cryptsetup, systemd-pcrphase ve systemd-creds gibi bileşenleri etkiler.

Nihayet onun hakkında daha fazla bilgi edinmekle ilgileniyorsanayrıntılarını kontrol edebilirsiniz. aşağıdaki bağlantı.


Yorumunuzu bırakın

E-posta hesabınız yayınlanmayacak. Gerekli alanlar ile işaretlenmiştir *

*

*

  1. Verilerden sorumlu: AB Internet Networks 2008 SL
  2. Verilerin amacı: Kontrol SPAM, yorum yönetimi.
  3. Meşruiyet: Onayınız
  4. Verilerin iletilmesi: Veriler, yasal zorunluluk dışında üçüncü kişilere iletilmeyecektir.
  5. Veri depolama: Occentus Networks (AB) tarafından barındırılan veritabanı
  6. Haklar: Bilgilerinizi istediğiniz zaman sınırlayabilir, kurtarabilir ve silebilirsiniz.

  1.   Luix dijo
    önce 2 yıl

    Lennart'tan daha fazla çöp..

    Luix'i yanıtla