Zum Hauptinhalt Zur Navigation
Abo testen Anmelden
Deals
Rack & StackSecurityWirtschaftEnergie & KlimaHardware

UAPI-Group: Systemd-Community will sicheres Linux und bessere APIs

Die Linux -Security könnte deutlich verbessert werden, vor allem beim Boot. Die neue UAPI-Group soll die Konzepte diskutieren.
/ Sebastian Grüner
15 Kommentare News folgen (öffnet im neuen Fenster)
Die UAPI-Group diskutiert neue Konzepte für Linux. (Bild: Pixabay)
Die UAPI-Group diskutiert neue Konzepte für Linux. Bild: Pixabay

Der Entwickler und Begründer des Systemd-Projekts, Lennart Poettering, hat in seinem Blog(öffnet im neuen Fenster) einen detaillierten Plan vorgestellt, der eine deutlich bessere Absicherung der Linux-Boot-Security darlegt im Vergleich zu bisherigen Lösungen. Zwar gibt es speziell abgesicherte Linux-Distributionen wie Chrome OS, die meisten anderen Distributionen nutzen jedoch laut Poettering ein nur wenig abgesichertes Boot-Konzept.

Neue Angebote bei Golem Jobs(öffnet im neuen Fenster)
Kollegiale Leitung der IT-Abteilung (d/m/w) – Schwerpunkt Rechenzentrum, Netzwerke und Storage Helmholtz-Zentrum für Umweltforschung GmbH – UFZ, Leipzig (öffnet im neuen Fenster)
Leiter User Helpdesk (m/w/d) NetCologne IT Services GmbH, Köln (öffnet im neuen Fenster)
Duales Studium Informatik - Cyber Security 2026 (m/w/d) STACKIT, Neckarsulm (öffnet im neuen Fenster)
Duales Studium Informationstechnik 2026 (m/w/d) Schwarz IT, Neckarsulm (öffnet im neuen Fenster)
Duales Studium Angewandte Informatik (B. Sc.) Landkreis Lüneburg, Lüneburg (öffnet im neuen Fenster)
Medieninformatiker / UI/UX Designer (m/w/d) Angular Frontend Scheidt & Bachmann Fare Collection Systems GmbH, Mönchengladbach (öffnet im neuen Fenster)
Leiter IT-Kundensysteme (m/w/d) NetCologne IT Services GmbH, Köln (öffnet im neuen Fenster)
Applikationsmanager (m/w/d) Robert-Bosch-Krankenhaus GmbH, Stuttgart (öffnet im neuen Fenster)

Zu den von Poettering beschriebenen Problemen gehört, dass die Initrd(öffnet im neuen Fenster) schlicht überhaupt nicht abgesichert ist. Betriebssystem-Updates seien anfällig und wenig robust in Bezug auf die Sicherheitskomponenten, es gebe keinen Schutz gegen sogenannte Rollbacks, die Remote-Attestation sei unnötig kompliziert und es gebe keinerlei Konzept dafür, Schlüssel, die für alte Betriebssystemversionen genutzt wurden, zurückzuziehen.

Das von Poettering vorgegebene Ziel ist dabei ein komplett signierter und überprüfter Boot-Pfad von der Firmware bis in den Userspace. Hinzu kommen Veränderungen am Umgang mit TPM PCRs, dem Update-Konzept auf Dateiebene oder auch der angesprochene Rollback-Schutz sowie die Remote Attestation. Genutzt werden soll dafür TPM 2.0, was auch bei aktuellen Windows-Systemen Voraussetzung ist.

Diskussionen und Ausarbeitung für neue Arbeitsgruppe

Grundbaustein soll ein Unified Kernel Image (UKI) werden, das aus dem Kernel selbst, der Initrd sowie einem kleinen UEFI-Boot-Programm besteht. Poettering führt die Zusammensetzung des UKI sowie den geplanten Bootablauf, die Nutzung von TPMs, Schlüsseln und verschiedener Richtlinien schließlich weiter detailliert auf. Der langjährige Linux-Entwickler und Security-Spezialist Matthew Garrett, der etwa maßgeblich am Kernel-Lockdown beteiligt war, unterstützt die Pläne auf Twitter(öffnet im neuen Fenster) .

Neues aus der Golem Karrierewelt(öffnet im neuen Fenster)

Poettering wiederum schlägt eine konkrete Implementierung mit Hilfe von Systemd-Werkzeugen vor, betont aber auch, dass dies mit anderer Software umgesetzt werden könnte. Um die vorgestellten Konzepte und die dafür auch am Linux-Kernel notwendigen Änderungen zu diskutieren, haben die Beteiligten die UAPI-Group(öffnet im neuen Fenster) gegründet. Wie der Name bereits beschreibt, sollen darin Kernel-Schnittstellen für den Userspace vorgeschlagen und diskutiert werden sowie neue Konzepte, wie das von Poettering vorgestellte für den Linux-Boot.

Zur Startseite 15 Kommentare

Relevante Themen

Open SourceLinuxSoftwareSecurityVerschlüsselungWissenTPMLennart Poettering