systemd 252 pone los cimientos para mejorar la seguridad del arranque de Linux
systemd 252 fue publicado el día de Halloween con una serie de novedades importantes. Este componente, que es definido como init, un gestor de sistema, un framework de sistema o una suite de software dependiendo de donde se mire, es desde hace muchos años una de las partes nucleares de la mayoría de las grandes distribuciones, entre ellas Ubuntu, Fedora, openSUSE y Arch Linux.
Lo primero que sobresale de systemd 252 es “systemd-measure”, que se encarga de precalcular las mediciones de PCR 11 y facilitar las políticas de TPM2. PCR son las iniciales de Registro de Configuración de la Plataforma (Platform Configuration Register) y está relacionado con TPM (Trusted Platform Module), el chip de seguridad presente en las placas base modernas y que es uno de los requisitos para hacer funcionar Windows 11.
Otra novedad es el establecimiento del indicador “support-ended” en caso de detectar que la imagen del sistema operativo ha pasado su fecha de fin de ciclo. Esta cosa ha llegado junto al nuevo campo “SUPPORT_END=”, que permite especificar una fecha en la que se considera al sistema operativo como no soportado.
system 252, en comparación con lanzamientos anteriores del framework, incorpora un preajuste completo en la condición de “primer arranque” en lugar de solo disponer de “solo habilitar” (enable-only), C.UTF-8 es empleado como localización por defecto en caso de no haber ninguna otra configurada y OpenSSL es ahora usada como biblioteca criptográfica predeterminada en lugar de GnuTLS, si bien esta última todavía está soportada.
En lo que respecta a cosas relacionadas con el arranque, el contador de arranque monotónico de UEFI ha sido incluido en la semilla de aleatorización como entropía adicional y el soporte de arranque de systemd soporta ahora el inicio en el modo EFI mixto para los kernel de 64-bit con firmware UEFI de 32-bit.
El systemd-stub (o sd-stub), un componente que implementa y se encarga del binario stub de UEFI, emplea ahora LoadImage/StartImage para la ejecución del kernel en lugar de organizar manualmente la imagen y saltar al punto de entrada del kernel.
RISC-V, la arquitectura de procesador que apunta a ser la futura revolución de la computación, ha recibido su porción dedicada en systemd 252, la cual consiste en que la llamada de sistema “SystemCallFilter” ha sido agregada a la lista de llamadas del sistema permitidas de forma predeterminada cuando se activa la opción “SystemCallFilter”.
La detección de las soluciones de virtualización Parallels y KubeVirt ha sido mejorada, “systemd-oomd” envía a partir de ahora una señal de “D-Bus matado” cuando un cgroup ha sido matado y “systemd-udev” creará los enlaces “infiniband/by-path” e “infiniband/by-ibdev” para los dispositivo de InfiniBand.
“systemd-resolved” ha recibido algunos cambios, entre los que están la persistencia de DNSOverTLS en su fichero de estado para corregir un problema cuando era combinado con NetworkManager, la exposición de un socket de varlink en /run/systemd/resolve/io.systemd.Resolve.Monitor
con acceso solo para root, además del tratamiento de los algoritmos DNSSEC no soportados como inseguros en lugar de devolver un SERVFAIL. Todo eso se suma al mencionado uso de OpenSSL por defecto en detrimento de GnuTLS.
Como último detalle se puede resaltar el hecho de que la configuración de mkosi en systemd cuenta a partir de este lanzamiento con soporte para compilar el kernel de manera automática con la configuración apropiada para las pruebas de systemd, lo cual puede ser útil cuando se desarrolla o prueba systemd en tándem junto al kernel.
systemd 252 pone al menos parte de los cimientos de algunos cambios importantes que Lennart Poettering, actualmente trabajador de Microsoft, pretende implantar en el framework. Aquí cosas como UEFI, TPM, el mencionado binario de stub y Secure Boot jugarán un papel importante en aspectos como la seguridad del arranque del sistema y la generación de initrd.
systemd no es un componente que los usuarios suelan actualizar en sistemas de lanzamiento puntual o con software estanco, así que por lo general se quedan con lo suministrado a través de los repositorios de la distribución de turno. Dejando aparte el proceso de compilación, la forma más sencilla de obtener systemd 252 es empleando Arch Linux o una distribución similar y esperar a que llegue como una actualización estándar. Todos los detalles de este lanzamiento están publicados en el anuncio oficial.
La entrada systemd 252 pone los cimientos para mejorar la seguridad del arranque de Linux es original de MuyLinux