Леннарт Поттеринг рассказал про то, как можно сделать процесс загрузки Linux более простым и надежным

Ведущий разработчик Systemd Леннарт Поттеринг (Lennart Poettering) в своем блоге опубликовал длинный пост под названием “О дивный новый мир верифицированной загрузки’, в котором он описывает текущие проблемы загрузки Linux-дистрибутивов и способы их решения. Предложенные Поттерингом изменения должны упростить организацию полноценной верифицированной загрузки, подтверждающей достоверность ядра и базового системного окружения.

Среди проблем, которые Леннарт (и не только он) рассматривает в текущем процессе загрузки Linux:

• Начальные RAM-диски (initrds), которые генерируются локально и поэтому не могут быть заверены цифровой подписью дистрибутива, что при использовании режима SecureBoot значительно усложняет проверку;

• Отсутствие возможности использования информации из регистров TPM PCR (Platform Configuration Register);

• Сложный процесс установки ядра;

• Ненадежные обновления загрузчика;

• Отсутствие защиты от отката ядра.

Предложенная Поттерингом архитектура опирается на единый универсальный образ ядра (UKI), который объединяет образ ядра Linux, обработчик для загрузки ядра из UEFI (UEFI boot stub) и загружаемое в память системное окружение initrd, применяемое для начальной инициализации на стадии до монтирования корневой ФС. Все это будет построено на основе различных компонентов systemd.

Из положительных изменений, которые может принести смена архитектуры, также стоит отметить:

• Появление защиты от атак, откатывающих систему до уязвимой версии;

• Упрощение и повышение надежности обновлений;

• Появление удаленной аттестации, которая будет подтверждать корректность загружаемой ОС и ее настроек;

• Построение на базе TPM 2.0, с возможностью отката на системы без TPM;

• Появление полностью верифицированного процесса загрузки, охватывающего все этапы от прошивки до пользовательского пространства, без исключений.

Если вы хотите узнать больше о новой архитектуре загрузки Linux, предложенной Леннартом Поттерингом, то мы рекомендуем заглянуть в его блог и ознакомиться со всеми техническими подробностями.