Software::Distributionen::Fedora
Handhabung von UEFI Secure Boot für Fedora 18 beschlossen
Bei seinem letzten Treffen hat das Fedora Engineering Steering Committee eine ganze Reihe in den vergangenen Wochen vorgeschlagener und diskutierter Funktionen für Fedora 18 genehmigt, darunter auch den umstrittenen Umgang mit UEFI Secure Boot.
fedoraproject.org
Beim
Fedora Meeting vom 23. Juli hat das aus neun Personen (inklusive Matthew Garrett) bestehende
technische Leitungsgremium von Fedora unter anderem Garrets Entwurf zur UEFI-Secure-Boot-Unterstützung für Fedora 18 zugestimmt. Fedora 18 soll im November erscheinen.
Demnach ist jetzt amtlich, dass Garrets Mini-Boot-Loader Shim von Microsoft signiert wird. Davon ausgehend, dass die meisten in Zukunft ausgelieferten UEFI-PCs den zugehörigen Public Key zum Verifizieren mitbringen, um Windows 8 via Secure Boot starten zu können, wird auf diese Weise auch Fedora auf solchen Systemen booten, ohne dass der Nutzer Secure Boot deaktivieren muss. Optional ist es auch möglich, dass Anwender Shim mit einem eigenen Schlüssel signieren und den Public Key bei der UEFI-Firmware als vertrauenswürdig eintragen, damit diese dem auf diese Weise signierten Boot-Loader vertraut. Eine sichere Boot-Kette sieht dann bei Fedora so aus: Bootet der Rechner via Shim mit aktivem Secure Boot, prüft Shim mit einem Fedora-eigenen Schlüssel vor dem Ausführen des Boot-Loaders Grub 2, ob dieser unversehrt und außerdem korrekt signiert ist. Grub kann dann seinerseits die Signatur des Linux-Kernels prüfen, der wiederum Signaturen sämtlicher Kernel-Module vor dem Laden prüft.
Fedora 18 nutzt zum Signieren und Prüfen der Signatur standardmäßig ein eigenes Schlüsselpaar. Wer dagegen einen eigenen Schlüssel in die UEFI-Firmware einträgt, müsste so zum Validieren von Grub, Linux-Kernel und den Kernel-Modulen auch ein eigenes Schlüsselpaar verwenden können. Wie in der Diskussion im Vorfeld erörtert, arbeitet Grub 2 bei einem auf die geschilderte Weise umgesetzten Systemstart »eingeschränkt«. Der Kernel soll in diesem Fall einige beim Booten übergebenen Parameter nicht zulassen und außerdem keine DMA-Zugriffe durch Benutzerprozesse erlauben. Das hat unter anderem zur Folge, dass Grafiktreiber für den X-Server nur dann Hardware-Beschleunigung nutzen, wenn diese Kernel-Treiber mit KMS verwenden. KMS steht für »Kernel Based Mode Setting« und stellt ein Subsystem des Linux-Kernels dar, welches automatisch die Kontrolle über die Grafikkomponenten eines System übernimmt und die passende Auflösung einstellt. Da KMS in den meisten Fällen vom Linux-Kernel selbst aktiviert wird, muss X.org nur angewiesen werden, einen Treiber zu nutzen, der KMS unterstützt. Bei Intel-Treibern ist das standardmäßig der Fall. Bei Nvidia gilt das nur für den Nouveau-Treiber. Die proprietären Treiber von AMD/ATI und Nvidia werden beim Start mit aktiviertem Secure Boot nicht funktionieren. Da Fedora die proprietären AMD- und Nvidia-Treiber als hundert Prozent quelloffenes System ohnehin nicht mitliefert, werden die zugehörigen Kernel-Module mangels Fedora-Signatur auch nicht geladen.
Indes stellte das Thema UEFI-Secure Boot nur einen von vielen Tagesordnungspunkten dar. Darüber hinaus wurden eine ganze Reihe weiterer zuletzt vorgeschlagener neuer Funktionen für Fedora 18 genehmigt, darunter die Integration von »Heat«, ein AWS-CloudFormation-API für OpenStack und der neue Network-Team-Treiber. »Teaming« bezeichnet eine logische Netzwerkkarte, welche mehrere physische Netzwerkkarten zu einer Gruppe zusammenfasst, was das Realisieren von Redundanzen bei Netzwerkkarten erlaubt. Ferner ist Avahi, die freie Implementierung von Zeroconf zur Vernetzung von Geräten in lokalen Netzen ohne manuelle Konfiguration, bei Fedora 18 standardmäßig installiert, aktiviert und die Firewall zur Nutzung von Avahi konfiguriert.
Zudem unterstützen virtualisierte Gastsysteme in Fedora 18 Suspend/Hibernate korrekt. »Virtio« und die zugehörigen Treiber wurden für den korrekten Umgang der Hibernation-Unterstützung von Linux in virtuellen Gastmaschinen so erweitert, dass die ACPI-Zustände S3/S4 korrekt funktionieren. Außerdem unterstützt Fedora 18 das Erstellen von Live-Schnappschüssen laufender virtueller Instanzen.
){kind=logo}
