Fedora 40: Unified Kernel Images kommen
Dieses Mal ist Fedora um weitreichende Neuerungen nicht verlegen: Unified Kernel Images (UKIs) sind nachrüstbar. Die KDE-Version verabschiedet sich von Xorg.
(Bild: David Wolski)
Nach einer eher brav gehaltenen Vorgängerversion liefert Fedora 40 wieder einige bemerkenswerte Änderungen: Voran Gnome 46 als primärem Desktop und KDE Plasma 6, das sich in der Standardinstallation von Xorg verabschiedet hat. X11 gibt es weiterhin für KDE als Option in den Paketquellen, verlangt aber nach manueller Installation. Gnome 46 bietet Xorg-Sitzungen hingegen weiterhin an. Für experimentierfreudige Anwender gibt es die Option, nach einer Fedora-Installation das System mit Unified Kernel Images (UKIs) auszustatten, welche UEFI-Bootloader, Kernel und Ramdisk in eine einzige Datei verschmelzen. UKIs verhindern Manipulation von initialen Ramdisks und machen den Bootprozess damit vertrauenswürdiger.
Ein Plus an Sicherheit versprechen Modifikationen an Systemd-Prozessen, die für Fedora-Desktops und -Server typisch sind. Systemd erlaubt es, die ausgeführten Systemd-Dienste mit Zugriffsrechten auf Ressourcen jeweils in eine Sandbox einzusperren. Wie so oft bei Systemd: Viele der Sandboxing Möglichkeiten gibt es schon länger, angefangen mit Systemd 211 von 2012. Nur hat sich bisher niemand die Mühe gemacht, auch alle neuen Policies für Standard-Systemdienste konsequent umzusetzen. Diese Fleißarbeit war eines der Unterprojekte zu Fedora 40, wobei der Kopf dahinter die Systemd-Absicherung als Ergänzung zu SELinux sieht, die auch dann greift, wenn SELinux in Fedora abgeschaltet wird. Es ist absehbar, dass auch andere Distributionen die Systemd-Policies übernehmen werden, wenn sie sich in der Praxis in Fedora ohne zu viele Nachwehen bewährt haben.
(Bild: Screenshot / David Wolski)
Die Softwareversionen in den Paketquellen sind wie immer angenehm frisch: Podman macht den Sprung von 4.7 auf Version 5. Als Java-Runtime bietet Fedora nun OpenJDK 21 statt der vier Jahre älteren OpenJDK 17 als Standard an. Der Kernel ist bei Ausgabe 6.8.7 angekommen und Kernel 6.9 wird voraussichtlich später im Jahr nachgeliefert.
Die xz-Backdoor: Knapp vorbeigeschrammt
Fedora 40 legt nur eine kurze Verzögerung hin – obwohl die Beta zunächst von der potenziellen Backdoor in den xz-Bibliotheken betroffen war. Fedora gehörte sogar zu jenen Linux-Distributionen, deren Entwickler von der Quelle der xz-Backdoor in mehreren E-Mails dazu gedrängt wurde, die neuen xz-Bibliotheken 5.6.0 möglichst schnell aufzunehmen.
Nachdem auch bei Fedora im Debugger Valgrind Fehler aufgefallen waren, kompilierte dessen Team die betroffenen xz-Utils selbstständig ohne jenen Symbol-Resolver, der eine der Voraussetzungen der Hintertür ist. Mehr aus allgemeiner Vorsicht heraus entging Fedora 40 damit in seiner Beta-Phase einem Debakel, dessen Aufarbeitung zeitaufwendig und ungünstig für das Ansehen der Distribution gewesen wäre. Denn immerhin ist Fedora eine direkte Vorstufe zu Cent OS und damit auch zu Red Hat Enterprise Linux.
UKIs: Per Script nachrüstbar
Einige länger geplante Änderungen haben die Fedora-Entwickler noch mal aufgeschoben. So ist der ausgelieferte Paketmanager immer noch DNF 4 und nicht der neuere, schnellere DNF 5, welcher sich seiner Darstellung im Terminal an Pacman von Arch Linux orientiert. Der Grund für den Aufschub ist, dass noch nicht alle Aufrufparameter komplett in DNF 5 abgebildet sind. Im Alltag für gewöhnliche Systemaktualisierungen erfüllt der neue Paketmanager aber bereits alle Erwartungen und kann über das Paket dnf5 nachinstalliert werden. Etwas schneller ist aber auch DNF 4 dank besserem Caching geworden, das nicht mehr eine komplette Liste aller Dateien in sämtlichen Paketen bei jedem Aufruf aktualisieren muss.
Aufgeschoben ist zudem der neue Installer – Fedora 40 bleibt bei Anaconda, das als Installationsprogramm auch noch keine Unified Kernel Images (UKIs) generieren kann, obwohl diese Bootmethode für UEFI-Systeme ohne Grub oder Systemd-Boot in Fedora 40 bereits funktioniert. UKIs können nachträglich über die Pakete virt-firmware, uki-direct, kernel-uki-virt und das mitgelieferte Script /usr/share/doc/python3-virt-firmware/experimental/fixup-partitions-for-uki.sh nachgerüstet werden, wie die Dokumentation zeigt. Unified Kernel Images sind zum vertrauenswürdigen Boot (Measured Boot) eines Linux-Systems wichtig, um beispielsweise über einen TPM2-Chip zuvor versiegelte Schlüssel abzurufen, die dann ohne weitere Benutzerinteraktion eine LUKS2-verschlüsselte Partition entsperren. Bislang, ohne UKIs, sind initiale Ramdisks ein Manko gewesen, das einen vertrauenswürdigen Boot bei geschickten Manipulationen aushebeln kann.
AMD: ROCm 6 und ein Patzer
Wer eine aktuelle AMD-Grafikkarte im Rechner hat, kann sich über ROCm 6 für KI-Arbeitslasten freuen, das aus den Paketquellen in Fedora 40 mit vertretbarem Aufwand installierbar ist. ROCm 6 unterstützt unter anderem den Instinct MI300-Beschleuniger, den AMD Ende letzten Jahres vorgestellt hat. Als Patzer in Fedora 40 kann aber die Unterstützung von älteren AMD-Grafikchips vom Typ "Southern Islands" und "Sea Islands" gelten: Schon der Boot der Installationsmedien scheitert bei diesen älteren AMD-Chips, da Fedora 40 weder die Module radeon noch amdgpu laden will, obwohl diese im ausgelieferten Kernel vorhanden sind.
In unseren Anläufen war die Modifikation des Grub-2.06-Bootmenüs nötig, mit der Ergänzung der Kernel-Parameter radeon.cik_support=0 radeon.si_support=0 amdgpu.si_support=1 amdgpu.cik_support=1, um über den Treiber AMDGPU überhaupt booten zu können. Die Option "Install Fedora 40 in basic graphics mode" funktionierte zum Troubleshooting aber auch erst mal.
Immutable Systeme: Fedora mit neuer Variante
Wie zuvor geizt Fedora 40 nicht mit einer breiten Auswahl von Desktops jenseits von Gnome 46 und dem erwähnten KDE Plasma 6.0.1. Installierbare Live-Systeme gibt es als sogenannte "Spins" auch wieder mit Cinnamon, MATE, XFCE, LXQT, LXDE, Budgie, Sway, i3 und mit dem visuell vereinfachten Desktop "Sugar-on-a-Stick" für Schulcomputer. Zudem hat die Reihe der Immutable-Systeme Fedoras einen Neuzugang erhalten. Es gibt nun Fedora Silverblue mit Gnome, Kinote mit KDE, Onyx liefert Fedora 40 mit Budgie-Desktop und das neue "Sericea" zeigt Wayland mit Sway, das wie i3 eine weitgehend tastaturgesteuerte Arbeitsfläche bietet. Die Release Notes reihen alle Änderungen zu Fedora 40 wie üblich in ausführlicherer Form auf.
(dmk)
