FOSS LinuxBoot ersetzt UEFI auf Servern

Publiziert am 12. Oktober 2018 von Günter Born

Kleiner Ausblick in das Umfeld von Linux. Die Community will ja weg von proprietärer Hardware mit UEFI, Intel ME & Co. Das freie LinuxBoot ist die Antwort auf den UEFI-Kleister der kommerziellen Hersteller, beschränkt sich aber auf den Server-Bereich. Eine Implementierung liegt seit einem Jahr vor und scheint wohl einige Vorteile gegenüber UEFI zu haben. Hier einige Informationen zu LinuxBoot.

Anzeige

Microsoft, Intel und der Rest der Branche forcieren ja die Verwendung des Unified Extensible Firmware Interface (UEFI), welches das BIOS älterer Boards ablösen soll. U(EFI) beschreibt eine vereinheitlichte, erweiterbare Firmware-Schnittstelle) zwischen der Firmware, den einzelnen Komponenten eines Rechners und dem Betriebssystem. Die Kritik der Linux- und Open Source-Community an UEFI ist schnell zusammengefasst: Untransparent und ein Hebel, um ggf. unliebsame Konkurrenz auszusperren.

LinuxBoot als neuer Ansatz

Die Antwort der Linux-Community heißt LinuxBoot. LinuxBoot ist, laut dieser Projektseite, eine Firmware für moderne Server, die bestimmte Firmwarefunktionen wie die UEFI DXE-Phase durch einen Linux-Kernel und eine Laufzeitumgebung ersetzt.

LinuxBoot als UEFI-Ersatz

Das obige Schema zeigt die Architektur von LinuxBoot, welches zwar auf die Basis UEFI-PEI (Pre EFI Initialization) und den Coreboot RomStage-Komponenten [1] zur Initialisierung der Hardware aufsetzt, dann aber keine UEFI-Module mehr braucht. Als Vorteile werden genannt:

  • Verbessert die Bootzuverlässigkeit, indem leicht getestete Firmware-Treiber durch gehärtete Linux-Treiber ersetzt werden.
  • Verkürzt die Bootzeit durch Entfernen von unnötigem Code. Macht den Bootvorgang in der Regel 20-mal schneller.
  • Ermöglicht die Anpassung der initrd Runtime von Linux an die standortspezifischen Anforderungen (sowohl Gerätetreiber als auch benutzerdefinierte ausführbare Dateien).

Laut der Webseite ist dies ein seit fast 20 Jahren in Militär, Unterhaltungselektronik und Supercomputing-Systemen – überall dort, wo Zuverlässigkeit und Leistung im Vordergrund stehen, bewährter Ansatz.

Die Vorteile von LinuxBoot

Abseits dessen, dass LinuxBoot FOSS (Free Open Source Software) ist, geben die Entwickler auf der Webseite des Projekts in dieser FAQ weitere Hinweise zu den Vorteilen.

  • LinuxBoot kann jedes Dateisystem verwenden, das Linux unterstützt, nicht nur FAT (wie bei U(EFI).
  • Boot-Richtlinien lassen sich mit normalen Linux-Anwendungen, z.B. Shell-Skripten oder Binärdateien, implementieren, anstatt opake NVRAM-Variablen zu manipulieren.
  • Nutzer oder Entwickler können Linux-Anwendungen direkt aus dem ROM heraus ausführen.
  • Mit LinuxBoot lassen sich Legacy-Partitionen vollständig vermeiden und LVM kann für eine flexible Datenträgerverwaltung genutzt werden.
  • LinuxBoot kann jeder selbst erstellen und überprüfen, ob der reproduzierbare Build mit dem übereinstimmt, was andere gebaut haben. Dies ermöglicht es, sicherzustellen, dass die Firmware sauber ist.
  • Anwender können sich von der Firmware per TOTP bestätigen lassen, dass sie nicht geändert wurde.
  • Nutzer können eine vollständig verschlüsselte Festplatte haben, mit vertrGeheimnissen, die im TPM versiegelt sind und nur dann entsiegelt werden, wenn die Firmware nicht modifiziert ist.
  • Es lassen sich Gerätetreiber für Dinge hinzufügen, die UEFI nicht unterstützt.
  • Zudem lassen sich externe Hardware-Token wie ein Yubikey verwenden, um die Betriebssysteminstallation zu signieren und die GPG-Signatur von der Firmware validieren zu lassen.

Alles in allem gewichtige Vorteile, die LinuxBoot gegenüber U(EFI) bietet. Ich bin über diesen Artikel von itsfoss.com erneut auf die Thematik gestoßen. Dort erfährt man, dass das Open Compute Project bereits 2011 von Facebook gestartet wurde. Das das Ziel war, das Open-Source-Designs für einige der Facebook-Server zu entwickeln, um die eigenen Rechenzentren effizienter zu gestalten. LinuxBoot wurde auf einigen Open Compute Hardware getestet, die im itfoss.com-Artikel aufgeführt wird. LinuxBoot steht zwar auf GitHub zur Verfügung. Aber bisher hat es keinen Eingang in die typischen Clients für Consumer-Geräte gefunden. Trotzdem finde ich die Entwicklung spannend – und ich denke, nachdem im Beitrag Amazon, Apple und die China-Spionage-Chips … angesprochenen Verdacht könnte das Ganze noch mehr Aufwind bekommen.

Ähnliche Artikel:
Linux und das vergurkte UEFI-Konzept
Amazon, Apple und die China-Spionage-Chips
LoJax erster UEFI-Root-Kit und Torii-Botnet entdeckt
Bug ermöglicht Schadsoftware-Installation im Gigabyte UEFI
UEFI/BIOS-Infektion per Ransomware – Proof of concept
Virustotal analysiert nun auch (UEFI-)BIOS-Code
Microsoft modifiziert November-Security Update for Boot Manager (3193479) wegen Lenovo UEFI-Bug
Warnung: Windows Server hängen nach UEFI-Secure-Boot November 2016-Update
Fehlerhafter Windows-Update UEFI-Patch killt Minix-PC
UEFI/GPT und USB-Sticks – ein Erfahrungsbericht
Windows 8/8.1: UEFI-Bootprobleme beheben
UEFI-Desaster: Extreme Privilege Escalation-Lücke gefunden
UEFI-BIOS-Bug verhindert Booten bei USB-Geräten
Windows 8.1: Backup-Probleme bei UEFI/GPT-Datenträgern
Windows PE im UEFI- oder BIOS-Mode booten
Windows 8: Aktivierungsfalle bei BIOS/UEFI-Updates
Windows 8/8.1 UEFI-/OEM-Partitionierung – Teil III
UEFI-Emulation auf PCs
Intel legt Code für die TPM2-Unterstützung offen

Anzeige
Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen
Dieser Beitrag wurde unter Geräte, Linux, Sicherheit abgelegt und mit , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.