В Fedora 40 намечена реализация второй стадии внедрения универсальных образов ядра
Дата публикации:Wed, 06 Dec 2023 09:23:07 +0300
В выпуске Fedora Linux 40 планируют реализовать вторую стадию перехода на модернизированный процесс загрузки, предложенный Леннартом Поттерингом. Отличия от классической загрузки сводятся к использованию вместо образа initrd, формируемого на локальной системе при установке пакета с ядром, унифицированного образа ядра UKI (Unified Kernel Image), генерируемого в инфраструктуре дистрибутива и заверенного цифровой подписью дистрибутива. Предложение пока не рассмотрено комитетом FESCo (Fedora Engineering Steering Committee), отвечающим за техническую часть разработки дистрибутива Fedora.
Образ UKI объединяет в одном файле обработчик для загрузки ядра из UEFI (UEFI boot stub), образ ядра Linux и загружаемое в память системное окружение initrd. При вызове образа UKI из UEFI предоставляется возможность проверки целостности и достоверности по цифровой подписи не только ядра, но и содержимого initrd, проверка достоверности которого важна так как в данном окружении осуществляется извлечение ключей для расшифровки корневой ФС.
Первая стадия внедрения UKI была выполнена в Fedora Linux 38 и привела к добавлению поддержки UKI в загрузчик, реализации инструментария для установки и обновления UKI, а также формированию экспериментального образа UKI для загрузки виртуальных машин с ограниченным набором компонентов и драйверов.
На второй стадии намерены добавить возможность прямой загрузки UKI из UEFI-модуля shim.efi без привлечения отдельного загрузчика (grub, sd-boot), реализовать возможность использования UKI на системах с архитектурой Aarch64 и подготовить вариант UKI-образа для облачных окружений и защищённых виртуальных машин.
Новость позаимствована с opennet.ru
Ссылка на оригинал: https://www.opennet.ru/opennews/art.shtml?num=60244