Da wir ja nun noch mehr als zwei Wochen auf Fedora 37 warten müssen, hilft vielleicht ein Ausblick auf Fedora 38, die Zeit zu überbrücken. Fedora Linux 38 soll Mitte bis Ende April 2023 erscheinen. Und wie immer stehen interessante Neuerungen auf dem Plan der Entwickler. Zwei davon sollen hier näher vorgestellt werden. Dabei gebe ich zu bedenken, dass beide Projekte noch nicht genehmigt sind.
Unified Kernel Image
Als Lennart Poettering im Sommer von Red Hat zu Microsoft wechselte, gab es Befürchtungen, dass seine innovativen Denkansätze damit für die Linuxwelt verloren gehen würden. Dass dem nicht so ist, bewies erst vor wenigen Tagen sein Blogeintrag Brave New Trusted Boot World. Ein wichtiges Element dabei ist ein Unified Kernel Image, kurz UKI. Kein Wunder also, dass diese Idee nun bei den Planungen für Fedora Linux 38 aufgegriffen wird.
Die Entwickler streben die initiale Unterstützung für ein Unified Kernel Image an. Damit soll der Bootprozess insgesamt weiter abgesichert werden. Ein UKI ist eine EFI-Binärdatei, die Kernel, initrd, commandline und Signatur enthält. Die sichere Boot-Signatur deckt alles ab, insbesondere ist die initrd enthalten, was nicht der Fall ist, wenn diese, wie jetzt, auf dem installierten System erstellt und dann als separate Datei von /boot geladen wird.
Phase 1
Der jetzige Vorschlag wird als Phase 1 bezeichnet, da den Entwicklern klar ist, dass eine schnelle Umstellung der gesamten Distribution auf dieses Modell nicht machbar ist. Zu viele Funktionen hängen vom aktuellen Arbeitsablauf mit einer Host-spezifischen initrd ab, was grundsätzlich inkompatibel mit einem Unified Kernel ist. Die Hauptziele von Phase 1 sind:
- Ausliefern eines UKI als optionales Kernel-sub-rpm. Die Benutzer können sich für die Verwendung dieses Kernels entscheiden, indem sie das sub-rpm installieren.
- Aktualisierung der Kernel-Installationsskripte, sodass UKIs korrekt installiert und aktualisiert werden.
- Hinzufügen von Bootloader-Unterstützung für UKIs zu GRUB2 und/oder systemd-boot.
Längerfristig soll die Kontrolle über den Bootvorgang von GRUB2 zu systemd-boot übergehen. Aber auch bei GRUB2 gibt es Bestrebungen. UKI zu unterstützen. Der Installer muss zudem Unterstützung für discoverable partitions erhalten.
Für die Phasen 2 und 3 stehen weitere Ziele an, die eine Voraussetzung für UKI darstellen:
- Abkehr von der Verwendung der Kernel-Kommandozeile für die Konfiguration.
- Abkehr von der Speicherung von Secrets in der initrd.
- Änderung der Behandlung optionaler Dracut-Module
Ein Kernel im UKI-Format lässt sich bereits aus COPR installieren:
sudo dnf copr enable kraxel/unified.kernel
sudo dnf install kernel-unified-virt
sudo reboot
OSTree Native Container
Eine weitere angestrebte Neuerung für Fedora Linux 38 ist eine zweite, stabilisierende Phase von OSTree Native Container. Dabei geht es darum, dass der Anwender nicht mit den Interna von rpm-ostree vertraut sein muss, sondern mit generellem Wissen über Container zum Ziel kommt. Die Funktionalität soll größtenteils über das DNF/ YUM-Frontend mit wenigen Erweiterungen zugänglich sein.
Der Vorschlag basiert auf der Vorarbeit in Phase 1 für Fedora Linux 36, bei der die Erweiterung des OSTree-Stacks zur nativen Unterstützung von OCI/Docker-Containern als Transport- und Bereitstellungsmechanismus für Betriebssysteminhalte umgesetzt wurde. Das bedeutet für Anwender von OSTree-Systemen wie Fedora Silverblue, -Kinoite, Fedora-IoT oder Fedora CoreOS, dass sie künftig unter der Haube hauptsächlich mit generischen Container-Images arbeiten werden.
Anwender von OSTree-basierten Systemen müssen vorerst nicht auf Native Container umstellen. Alles, was heute in OSTree und rpm-ostree funktioniert, wird auch in den nächsten Jahren noch funktionieren, denn es wird in RHEL9 ausgeliefert.
Bereits genehmigt
Zu den bereits genehmigten Änderungen für Fedora Linux 38 zählt unter anderem die systemweite Einführung von DNF/RPM Copy on Write, womit vor allem die Menge an I/O durch unnötige Kopiervorgänge gesenkt werden soll. Weitere Informatioinen zu COW, wie die Funktion abgekürzt heißt, liefert ein Beitrag auf dewiki. Ebenfalls bereits genehmigt ist die Verwendung eines Wayland-Greeters für SDDM für den regulären KDE-Spin sowie für Kinoite.