Linux potrebbe dire addio ai bootloader e a GRUB: ecco perché
Quando si avvia il computer, il bootloader è il primo Software ad essere caricato dopo il firmware. Questo componente software si occupa di caricare in memoria il kernel del sistema operativo, qualunque esso sia, e preparare l’ambiente per la sua esecuzione. L’introduzione della funzionalità Secure Boot con il BIOS UEFI ha storicamente creato non pochi problemi alla comunità GNU/Linux e agli utenti del “pinguino”. Lo spieghiamo più avanti.
Marta Lewandowska, ingegnere della qualità presso Red Hat, ha recentemente presentato l’idea di nmbl, no more bootloader. Si tratta di un progetto che mira a semplificare il processo di avvio, migliorare la Sicurezza e ridurre la complessità della manutenzione dei sistemi. Nella dimostrazione pubblicata su Youtube, si spiega che non c’è più bisogno di un bootloader come GRUB se le funzionalità di avvio del sistema operativo sono integrate a livello di kernel Linux.
Il ruolo di Secure Boot
Dicevamo che in passato tante distribuzioni Linux e molteplici strumenti di terze parti basati su kernel Linux non potevano avviarsi. L’unico modo per farlo era disattivare Secure Boot completamente. Con il tempo, le distro Linux e vari progetti hanno abbracciato il concetto di shim.
La chiave di Microsoft, una delle poche chiavi accettate di default da Secure Boot, è utilizzata per firmare lo shim. Questa pratica consente alle distribuzioni Linux di avviarsi su Hardware che utilizza Secure Boot, senza richiedere all’utente di disabilitare la funzionalità di sicurezza. Una volta che shim è avviato, questo carica il bootloader principale, come GRUB, che poi avvia il kernel del sistema operativo. Una procedura cervellotica, lenta e non priva di potenziali problemi.
Come sostituire GRUB e i bootloader in generale con nmbl
nmbl introduce l’idea di un’immagine kernel unificata che include il kernel stesso, la riga di comando del kernel, initramfs e uno stub UEFI. Questo insieme di componenti può essere firmato digitalmente, creando un bootloader sicuro e autosufficiente.
initramfs contiene driver essenziali e script necessari per montare il file system radice; uno stub UEFI è un piccolo programma o una porzione di codice che funge da intermediario tra il firmware UEFI e il kernel Linux.
Con nmbl, è possibile scegliere la modalità switch root che usa lo stesso kernel con cui nmbl è stato costruito, eliminando la necessità di caricare un altro kernel e avviando direttamente il cosiddetto userspace. In alternativa, la modalità Kexec permette di selezionare un kernel diverso tramite un menu simile a GRUB.
I principali vantaggi di nmbl
Il nuovo approccio presentato dalla Lewandowska introduce in prospettiva notevoli miglioramenti sul piano della sicurezza. Tutto il sistema, inclusi kernel e initramfs, è firmato digitalmente.
Inoltre, nmbl riduce la complessità eliminando la necessità di duplicare funzionalità già presenti nel kernel. Con meno codice da gestire rispetto a un bootloader tradizionale, le vulnerabilità e i bug possono essere affrontati più rapidamente ed efficacemente.
Sebbene nmbl sia ancora in fase di sviluppo, Lewandowska conferma che è già in programma la sua integrazione nel processo di build del kernel di Fedora. I passaggi successivi includono il supporto per più architetture e miglioramenti relativi alla gestione della fase di boot.
Credit immagine in apertura: Copilot Designer