Szerző: Bodnár Ádám

2013. February 12. 10:44:00

Megjelent a Linux Foundation bootloadere UEFI-os gépekhez

Megnyílt az út a változatos Linux-disztribúciók számára, hogy felkerülhessenek a Windows 8-cal forgalmazott, BIOS helyett UEFI firmware-t tartalmazó gépekre: a Linux Foundation kiadta saját bootloaderjét, amely együttműködik a Secure Boot mechanizmussal.

James Bottomley kernelfejlesztő kiadta azt a mini bootloadert, amely végre megoldhatja tetszőleges Linux disztribúció vagy akár más operációs rendszer futtatását a legújabb, Windows 8-cal értékesített, UEFI firmware-t tartalmazó PC-ken.

Bármilyen bootloader használható

A linuxos közösség számára korábban nagy problémát okozott a Windows 8, mivel az új operációs rendszerbe épített Secure Boot technológia csak egy aláírt rendszerbetöltő szoftver futtatását engedélyezte annak érdekében, ne váljon támadhatóvá a gép még a rendszerindítás előtt. Ez a gyakorlatban annyit jelent, hogy bekapcsolt Secure Boot mellett csak Windows 8-at lehet indítani, a Linux indításához két lehetősége van a felhasználóknak, az egyik a Secure Boot kikapcsolása (amennyiben ez lehetséges az UEFI-ban), a másik pedig aláírt bootloader használata.

Utóbbi azonban problémás, hiszen a változatos Linux-disztribúciók készítőinek nem minden esetben van lehetősége a Microsoft aláírását megszerezni, vagy a saját aláírásukat bejuttatni a nagy PC-gyártók által használt firmware-ekbe - ez nem csak technikai, hanem jogi kérdés is, az aláírások elfogadását  ugyanis szerződések garantálják és a hitelesítő kulcsok beszerzése sem filléres tétel.

Machine learning és Scrum alapozó képzések indulnak! (x) A HWSW októberben induló gyakorlatorientált, 10 alkalmas, 30 órás online képzéseire most early bird kedvezménnyel lehet regisztrálni!

Ezt a problémát hidalja át a Linux Foundation mini bootloadere, amely a Microsoft aláírásával rendelkezik és egy bekapcsolt Secure Boottal rendelkező UEFI-s gépen el tud indulni. Ezzel a Linux felhasználók is ugyanolyan szintű védelmet kapnak mint a Windows-vásárlók, az operációs rendszer indítása előtt nem tud illetéktelen kód lefutni. A Linux Foundation bootloadere nem közvetlenül a szabad operációs rendszert indítja el, hanem egy újabb bootloadert hív meg - a folyamat során a felhasználónak meg kell erősítenie annak, illetve a betöltött operációs rendszernek a "megbízhatóságát", ezt követően a bootloader a hash-üket eltárolja a firmware-ben, így ezt a folyamatot nem kell minden rendszerindításnál megismételni.

Egyesülés a Shimmel?

Tavaly ősszel már megjelent egy bootloader, a Shim, amely a Microsoft aláírásával rendelkezett és gyakorlatilag azonos funkcionalitást biztosított, lehetővé tette a Linux elindítását Windows 8-cal kiadott, UEFI-t és bekapcsolt Secure Bootot tartalmazó PC-n. A két megoldás közötti különbségeket a Shim szerzőjének blogja részletezi: a Shim beépítve tartalmazza az elilo bootloadert, amely betölti a Linuxot, míg a Linux Foundation verziója bármilyen bootloaderrel és operációs rendszerrel együtt tud működni. A két szoftver fejlesztője, Matthew Garrett és James Bottomley jelenleg is egyeztet arról, hogy összeolvasszák projektjeiket.

Garrett blogjában egyébként arról írt nemrég, a Chromebookokon még a Windowsnál is nagyobb szigor uralkodik a rendszerbetöltés körül. A firmware azonosítja a kernelt, a kernel pedig a fájlrendszert, ami teljesen kizárja a szoftver módosítását. Egyedüli lehetőség az ellenőrzés kiiktatása, ez azonban a gépen tárolt összes adat törlésével jár együtt annak érdekében, nehogy egy ellopott gépen levő adatokhoz ilyen módon hozzá lehessen férni. A Chromebookok csak a Google által kiadott hivatalos szoftvert indítják el biztonságos módon, saját szoftver aláíratására nincs lehetőség, így aki módosítani szeretné Chromebookjának rendszerét vagy más operációs rendszert telepítene, kénytelen lemondani a biztonságos rendszerbetöltésről.

a címlapról