Linux基金会发布了允许Linux与运行UEFI(统一可扩展固件接口)固件的计算机一起工作的软件,为安装在Windows 8计算机上的独立Linux发行版铺平了道路。
的Linux基金会安全引导系统通过提供一种方法,让基于Linux的操作系统在UEFI固件控制的新硬件上运行,也称为“安全引导”技术,解决了许多Linux发行版的一个基本问题。
[也:Linux幽默的10个伟大插图]
“Linux基金会愿望不仅让Linux引导的安全启动系统的新浪潮,但也使那些懂行的用户希望这样做实际上安全引导过程的控制主要通过安装自己的平台,“写了詹姆斯Bottomley Linux基金会技术顾问委员会成员,他领导了开发的引导加载程序,在声明中。
作为长期使用的BIOS固件的潜在替代品,UEFI是一种行业倡议,通过设计计算机的固件,使其在启动操作系统或计算机内部的任何硬件(如显卡)之前需要一个可信密钥,从而保护计算机免受恶意软件的攻击。UEFI将提供一个信任链的基础,该信任链将一直连接到软件层,从而阻止在计算机上安装非法和有害软件的企图。
微软要求在所有运行Windows 8的机器上安装UEFI。而oem(原始设备制造商)可以提供一种方式来关掉UEFI其他操作系统可以在这台机器上运行,许多Linux社区担心oem厂商不会提供一个UEFI开关,从而不允许其他操作系统没有这些机器上运行的关键。通用的Linux发行版将不运行在没有密钥的Windows 8电脑上。
“在安全模式下……该平台将只执行使用UEFI安全引导签名数据库中白名单密钥签名的EFI二进制文件,”Bottomley解释道。
许多主要Linux发行版的最新版本现在都包含了一个引导加载程序或某种用于UEFI的shim,包括Ubuntu 12.10和Fedora 18。然而,对于那些喜欢创建自己的Linux发行版的人来说,这个UEFI要求被视为一个障碍。Linux Foundation引导加载程序提供了一个由Microsoft认证的散列代码,并支持用于引导通用Linux内核的基础设施。
“我们已经有了一个协议,微软很乐意让我们把最初的微软签名的EFI二进制文件加载转移到单独验证的EFI二进制文件链上,由各个发行版控制,”Bottomley写道。
这不是Linux阵营中有人为UEFI设计的第一个方法。安全开发人员Matthew Garrett发布他自己去年的作品。shim与引导加载程序不同,尽管它们都覆盖了UEFI安全系统来加载Linux。Garrett的shim是硬编码的,可以使用一个特定的通用引导加载程序(称为elilo)引导Linux内核。Bottomley说Linux Foundation bootloader在技术上更像是一个“预加载器”,它可以与任何通用的Linux bootloader一起工作。“我们这样做是因为我们的任务是使Linux生态系统中的任何引导加载程序都能与安全引导一起工作,”Bottomley说。
Garrett和Bottomley正在讨论将Garrett的shim与Linux基金会的bootloader合并的可能性。Garrett帮助Bottomley创建了引导加载程序,来自Linux基金会、Red Hat和Canonical的其他开发者也是如此。
UEFI已经被证明是一个挑战,即使是在Microsoft Windows中实现。加勒特也报道了某些运行Windows 8的三星笔记本电脑可能会永久停止工作,原因是三星固件在UEFI存储空间存储系统崩溃数据时存在漏洞。
约押·杰克逊报道企业软件和通用技术的突发新闻IDG新闻服务。在推特上关注约押@Joab_Jackson。约押的电子邮件地址是Joab_Jackson@idg.com