Fedora 38 mit Xfce 4.18 und Brave New Trusted Boot

Mi, 11. Januar 2023, Lioh Möller

Mit der als Unified Kernel Image (UKI) bezeichneten Initiative möchte Lennart Poettering die Linux Welt ein wenig sicherer machen. Üblicherweise kommt zum Start des Betriebssystems eine sogenannte Initial Ramdisk (initrd) zum Einsatz. Diese enthält neben Treibern beispielsweise auch sicherheitsrelevante Informationen zum Entsperren eines verschlüsselten Dateisystems. Der Linux Kernel würde sich grundsätzlich allerdings auch ohne initrd monolithisch nutzen lassen, wie es bei der Slackware Distribution bei einer Nutzung des sogenannten huge Kernels der Fall ist. Ein weiterer Vorteil einer initrd ist, dass der Kernel selbst vergleichbar klein gehalten werden kann und die initrd wiederum nur Treiber enthält, welche auf dem System tatsächlich benötigt werden. Dazu kommen Hilfsprogramme wie mkinitrd oder erweiterte Lösungen wie dracut zum Einsatz.

Neben der Ramdisk können auf klassischen Systemen Bootparameter an die Kernel cmdline übergeben werden. Den aktuellen Stand kann man sich mit cat /proc/cmdline ausgeben lassen. Die Konfiguration erfolgt je nach Bootloader unterschiedlich, wird allerdings oftmals als append line bezeichnet.

Mit UKI würde all dies der Vergangenheit angehören. Das Konzept sieht die Auslieferung einer einzelnen UEFI PE Binaries vor, welche den Kernel, eine statische initrd, einen EFI Boot Stub sowie Bootparameter enthalten würde. Dieses Abbild liesse sich direkt aus der UEFI Firmware heraus oder von einem Bootloader starten.

Auf diese Weise lässt sich anhand der Signatur die Echtheit aller Komponenten sicherstellen, was bei der Nutzung einer klassischen initrd nicht der Fall ist, da diese unsigniert ist. In einem Blogpost hat Lennart bereits begonnen, seine Vorstellungen ausführlich zu beschreiben.

Das Fedora Projekt entscheidet jeweils demokratisch über die Aufnahme neuer Funktionen und so wurde bestimmt, die erste Phase der UKI Unterstützung bereits in die kommende Version 38 zu integrieren. Dabei soll zunächst ein optional verfügbares sub-RPM zum Einsatz kommen, welches interessierte Anwender bei Bedarf einsetzen können.

Damit einher geht die Anpassung der Installationsscripte für den Kernel sowie eine Unterstützung von UKI Abbildern durch den Bootloader. In diesem Zusammenhang soll das Installationsprogramm erweitert werden, um systemd-boot als alternativen Bootloader zu unterstützen. Niedrige Priorität, aber dennoch angedacht, ist die Verwendung von UKI in den Fedora Cloud Abbildern.

Weniger spektakulär, aber dennoch interessant ist die geplante Integration der Xfce Desktopoberfläche in Version 4.18, über dessen Neuerungen wir bereits im Detail berichtet haben.

Tags

UEFI, SecureBoot, Kernel, UKI, Fedora, Xfce