Fedora 45에서 기밀 컴퓨팅을 위한 경량화된 GRUB 부트로더 검토

Red Hat 엔지니어들은 UEFI 부팅, UEFI Secure Boot 활성화, 그리고 최소한의 내장 모듈에만 초점을 맞춘 별도의 간소화된 GRUB 부트로더 패키지를 고려하고 있습니다. 이 부트로더는 또한 Unified Kernel Images (UKIs)와 Bootloader Specification (BLS) 파일을 처리할 수 있어야 합니다.

표준 GRUB 부트로더는 Fedora Linux에서 계속 사용 가능하며 기본값으로 유지될 것이며, 이 더 가벼운 버전의 GRUB은 기밀 컴퓨팅(confidential compute) VM에 초점을 맞출 것입니다. 기밀 VM이 측정된 부팅(measured boot) 및 원격 증명(remote attestation)에 의존하기 때문에, 'GRUB light'를 통해 동일한 TPM PCR 값을 더 오래 유지하여 보다 안정적인 기밀 컴퓨팅 경험을 제공하는 것이 목표입니다.

Fedora / Red Hat 개발자들은 처음에는 간소화된 GRUB 버전을 배포하는 대신 기밀 VM에 systemd-boot 사용을 고려했지만, systemd 개발자들은 추가 기능 추가를 거부했습니다. 그 이유는 systemd-boot가 GRUB만큼 광범위하게 테스트되거나 퍼징(fuzzed)되지 않았고, Fedora에서 여러 부트로더를 유지 관리하는 것을 피하고 싶었으며, 다른 아키텍처 관련 우려 사항들이 있었습니다.

앞으로 Fedora Linux의 기밀 컴퓨팅 VM을 위한 이 제안된 경량화된 GRUB 버전에 대해 더 알고 싶은 분들은 F45 변경 제안(F45 change proposal)을 참고할 수 있습니다.