In einem (wie immer bei Poetterings Systemd-Auftritten) hoffnungslos überfüllten Raum gab Systemd-Mastermind und Red-Hat-Entwickler Lennart Poettering auf der Fosdem 2015 einen Abriß der Systemd-Geschichte des letzten Jahres, erzählte von den wichtigsten Neuerungen und kündigte UEFI-Boot-Mechanismus-Integration für die nähere Zukunft an.

“Man wird mich dafür hassen, ich weiß, aber ich finde das so toll, was wir da vorhaben!” – Mit diesen Worten präsentierte der umstrittene Systemd-Entwickler Lennart Poettering im Developer Room H.1302 der Fosdem 2015 die wohl wichtigste Neuerung der jüngsten wie auch der kommenden Systemd-Agenda: Die Integration von UEFI-Zertifikaten und einer kompletten Chain of Trust steht da ganz oben: “Wir werden Gummiboot in Systemd integrieren. Ich will niemand anderem auf meiner Fedora haben, Lasst uns Microsoft und die NSA rauskicken.”

Lennart Poettering und Kay Sievers (vorne rechts) auf der Fosdem 2015.

Um knackige und provozierende Worte nie verlegen, rief der Wahlberliner den Zuhörern zu: “Macht Euere Linux-Systeme sicherer, Kay und David haben schon daran gearbeitet, wir wollen die komplette Chain of Trust ohne eine externe Authority.” Man wolle das richtig machen, und nicht nur dann hätten Microsoft-Zertifikate in UEFI schließlich nichts verloren. “Ein MS-Zertifikat für die Sicherheit zu verwenden ist in der Post-Snowden-Welt doch einfach dämlich. Wir wollen eines, das von Fedora signiert ist – oder gleich vom Benutzer selbst.”

Steht Systemd auf der Tagesordnung, dann füllen sich die Räume schnell.

Das Ziel erfordere aber auch eine komplette Chain of Trust, die fast alle Bereiche der Software tangiere, wenn etwa Init.d einen neuen Kernel bootfähig machen wolle. Dann müsse auch UEFI aktualisiert werden, und vieles mehr. Die Thematik betreffe auch nicht – wie viele denken, nur Laptops, sondern gerade nach Snowden auch den typischen Datacenter in der Cloud. “Man kann eigentlich selbst den Leuten, die die Blades reinschieben, nicht mehr vertrauen, so schade das auch ist.”, erklärt Poettering.

Präsentation vom Smartphone: Lennart Poettering auf der Fosdem 2015.

Er trägt frei vor, ohne Slides, hat nur die wichtigsten Punkte seines Talks auf einem Smartphone, keine Stichworte, nur die Liste. Bevor er stolz die UEFI-Ankündigung gewissermaßen als Höhepunkt der Präsentation schildert, hat er über Kdbus, N-Spawn, Networkd, das Rendern von Schriften an der Konsole, aber auch über die neuen Tools in Systemd gesprochen. Systemctl Edit, Cut, Hostnamectl, DNS (Resolvd) sowie DHCP- und Time-Server-Client – vieles hat sich 2014 getan im zentralen Service. Poettering spannt den Bogen übers Auditing bis zu zustandsfreien Systemen (Stateless Systems) und schildert die Neuerungen für besonders schützenswerte Systeme, wo Admins jetzt Home-, Temp- oder Usr-Verzeichnissen schon auf Kernelebene besonderen Schutz zukommen lassen können, ebenso USB-und Network-Devices.