21 meneos
142 clics
Proponen modernizar el proceso de arranque de Linux
Los cambios propuestos se reducen a la creación de una única imagen universal UKI (Unified Kernel Image) que combina la imagen del kernel de Linux, el controlador para cargar el kernel desde UEFI (UEFI boot stub) y el entorno del sistema initrd cargado en memoria, utilizado para inicialización inicial en la etapa antes de montar el FS. En lugar de una imagen de disco RAM initrd, todo el sistema se puede empaquetar en el UKI, lo que permite la creación de entornos de sistema totalmente verificados que se cargan en la RAM.
|
comentarios cerrados
Por cierto que ya existe otra forma de proteger el initrd que es metiéndolo en una partición cifrada y abriendo esa partición desde Grub.
Ahora en UEFI debes poner un cargador EFI en la particion FAT32 correspondiente.
www.openbsd.org/faq/faq14.html
En "If you use GPT for UEFI booting, do:" se ve. Crea una particion /dev/sd0a con todo el disco de tipo RAID, lo cifra y ahi ya crea los slices ("particiones") en Linux. Que no son "particiones", si no subdivisiones de una particion OpenBSD para GPT hecha con disklabel. En MBR funciona igual.
[TPM PCR 13 shall contain measurements of additional extension images for the initrd, to enable a modularized initrd – not covered by this document]
Y tirando de ese hilo, tampoco dice gran cosa.
man.openbsd.org/boot_amd64.8 -> man.openbsd.org/boot.8
El resto del disco se puede cifrar completo, pero el soporte en Grub para LUKS2 está un poco en pañales. Así que de momento hay algunas limitaciones.
Linux antaño era mucho mas inseguro por ello, era casi trivial saltarse la protección de arranque.
Y de forma mucho más simple, en Linux con LUKS, cryptsetup y LVM queria morirme.
Desde mi punto de vista, esto solo va a servir para aquellos que se instalan linux y quieren depender solo de las actualizaciones que le de la distribucion que se hayan metido. Cualquier individuo/empresa que este interesado en esto ya habra buscado sistemas con TPM, y dado que desde el kernel 5.10 los auxiliares como initramfs ya se pueden medir en el PCR 13, lo que Poettering viene a proponer no soluciona/mejora nada.
No me digas más, tu también crees que este es el año de linux en el escritorio...
Todo aspirante a troll, merece algún que otro hueso