Die Erstellung reproduzierbarer Systemabbilder gewinnt in der Welt der Softwareentwicklung und Systemadministration zunehmend an Bedeutung. Gerade bei Betriebssystem-Images ist es wichtig, dass Builds nicht nur inhaltlich übereinstimmen, sondern auch exakt bitweise identisch sind. Diese Form der Reproduzierbarkeit erlaubt es, Vertrauen in die Integrität der Images zu schaffen und erleichtert die Nachvollziehbarkeit von Builds. Im Jahr 2024 bringt das Tool mkosi, das vor allem für Arch Linux genutzt wird, wichtige Neuerungen und Vorgehensweisen mit sich, um diesen Herausforderungen zu begegnen. Mkosi ist ein Werkzeug, das auf einfache Art und Weise minimale Linux-Images auf Basis von Distributionen wie Arch Linux, Fedora oder Debian erzeugt.
Ziel ist es, schnell und zuverlässig Container, virtuelle Maschinen oder andere Formate bereitzustellen, die für Tests oder Deployment-Szenarien verwendet werden können. Die Herausforderung liegt dabei oft in der Tatsache, dass erzeugte Images durch unterschiedliche Systemzustände oder zufällige Elemente leicht variieren und somit nicht reproduzierbar sind. Ein zentraler Aspekt bei der Reproduzierbarkeit von Archivabbildern ist die Umgebungskonstante. Hier spielt die Umgebungsvariable SOURCE_DATE_EPOCH eine entscheidende Rolle. Sie dient dazu, eine feste, nachvollziehbare Zeit als Referenz für Timestamp-Informationen innerhalb von Dateien und Dateisystemen zu verwenden.
Diese Levelung von Zeitstempeln sorgt dafür, dass etwa Dateisystem-Metadaten, die ansonsten aktuelle Zeiten reflektieren, konstant bleiben. In mkosi und dessen Image-Erstellung entfalten solche Konstanten eine essentielle Wirkung. Die Arbeit an reproduzierbaren Arch Linux Images beginnt mit der Auswahl des richtigen Dateisystems für das Image. Die erste Überlegung befasste sich mit btrfs, das für seine Features wie Snapshots und Subvolumes bekannt ist. Die Erstellung von zwei btrfs-Images mit festgelegter UUID (Universally Unique Identifier) und Verwendung des SOURCE_DATE_EPOCH zeigte jedoch, dass trotz dieser Maßnahmen bei einem direkten Vergleich mittels md5sum deutliche Unterschiede bestehen blieben.
Selbst nach einem manuellen Hügel von SOURCE_DATE_EPOCH-Unterstützung im mkfs.btrfs zeigte sich eine Abweichung von mehreren tausend binären Differenzen, was auf eine inhärente und schwierige Reproduzierbarkeit von btrfs hinweist. Aus diesem Grund stellt sich ext4 als eine vorteilhafte Alternative heraus, denn das ext4-Dateisystem unterstützt ebenfalls source-date-epoch-Parameter und -UUIDs. Auch hier erfolgte die Erstellung zweier ext4-Images mit identischen Parametern und den gleichen UUIDs, anfangs jedoch wiederum mit unterschiedlichen Prüfsummen. Eine weitere investigative Maßnahme war der Einsatz des Tools dump2efs, mit dem das Image als XML-artige Beschreibung extrahiert werden kann.
Im Vergleich der Dumps zeigten sich Unterschiede bei Elementen wie Directory Hash Seed und Checksum, die auf randomisierte oder zeitabhängige Prozesse hinwiesen. Die Lösung für ext4 lag somit in der expliziten Setzung eines Hash Seeds bei der Image-Erstellung mit mkfs.ext4. Durch die Angabe des Parameters -E hash_seed mit einem festen Wert konnte eine Wiederholbarkeit erzielt werden, welche die Images bitweise identisch machte. Diese Entdeckung markiert einen Meilenstein bei der Gestaltung reproduzierbarer Arch Linux Images, da ext4 als Standard-Dateisystem in mkosi eingesetzt wird und mit dieser Methode die wichtigsten Herausforderungen von Festplatten-Images adressiert werden.
Ein weiterer Aspekt in der Komplexität der Image-Reproduzierbarkeit ist die Integration von EFI-Partitionen, die oft im FAT-Dateisystem formatiert werden. Die Erstellung von FAT-Partitionen unter Verwendung von mkfs.vfat offenbarte zunächst, dass auch hier Unterschiede im Vergleich zweier erstellter Images entstanden. Eine wichtige Neuerung ist, dass das Tool mkfs.vfat mittlerweile mit einem Patch versehen ist, der SOURCE_DATE_EPOCH respektiert – eine alterativlose Voraussetzung für reproduzierbare FAT-Filesysteme.
Trotz dieser Grundlage blieben die erzeugten Arch Images bei Hinzufügung des Linux-Kernels unreproduzierbar. Aufgrund der Integration von EFI-Partitionen und Bootloadern stellte sich heraus, dass die Timestamp-Behandlung in den kopierten Verzeichnissen wie /boot und /efi nicht konstant war. Die Ursache lag in der Methode von systemd-repart, dem Partitionierungstool, das mkosi unter der Haube verwendet. Dieses Tool kopiert Verzeichnisse mit dem Kommando mcopy aus den mtools, wobei die Verzeichnistimestamps auf den aktuellen Zeitpunkt gesetzt werden, anstatt SOURCE_DATE_EPOCH zu respektieren. Die Komplexität der Situation offenbart sich dadurch, dass der Umgang mit EFI-Systempartionen komplexer ist als die reine Filesystem-Erstellung.
Systemd-repart wurde ursprünglich so konzipiert, dass bei der Erzeugung von Filesystemen entweder ein Mount-Aufruf erfolgt oder mit speziellen Optionen wie --rootdir ein Data-Layout direkt bei der Erstellung umgesetzt wird. Bei FAT existieren keine vergleichbaren Mechanismen, sodass das Kopieren von Dateien in die neu erstellte Partition einen weiteren Schritt darstellt, der Einflüsse auf die Reproduzierbarkeit hat. Nach eingehender Analyse und zahlreichen Debugging-Sessions brachte die Umstellung auf ein modifiziertes Copyverfahren in systemd-repart den entscheidenden Durchbruch. Ein Pull Request wurde initiiert und zeitnah akzeptiert, der dafür sorgt, dass Verzeichnistimestamps beim Kopiervorgang erhalten bleiben und somit die Zeitstempel auf den Wert von SOURCE_DATE_EPOCH zurückgesetzt werden. Dieses Update war essentiell, um die Reproduzierbarkeit der EFI-FAT-Partition wiederherzustellen und somit die gesamte Arch Linux Image-Erstellung reproduzierbar zu machen.
Trotz der erreichten Erfolge bleiben einige Fragen offen, insbesondere ob das Festlegen identischer Hash Seeds bei Filesystemen wie ext4 oder das wiederholte Verwenden der gleichen UUIDs zu unerwünschten Nebeneffekten führen kann. Bis dato sind keine gravierenden Probleme berichtet worden, die den Einsatz dieses Verfahrens in der Praxis einschränken würden. Dennoch ist die weitere Beobachtung und Forschung in diesem Bereich wichtig, um unvorhersehbare Wechselwirkungen auszuschließen. Parallel dazu besteht ein großes Interesse an der Erweiterung der reproduzierbaren Image-Erstellung auf andere Dateisysteme wie f2fs, xfs oder sogar das bereits erwähnte btrfs. Die Herausforderungen bei diesen Dateisystemen liegen zum Teil in fehlender Unterstützung für feste Timestamps oder UUIDs bei der Formatierung oder in Eigenheiten der Metadatenbehandlung.
Die Zielsetzung ist aber klar: Die gesamte Palette an Dateisystemen soll in zukunftsfähigen Workflows durch reproduzierbare Prozesse abgedeckt werden. Zusammenfassend lässt sich festhalten, dass die Entwicklung im Bereich reproduzierbarer Arch Linux Images mit mkosi im Jahr 2024 erhebliche Fortschritte erzielt hat. Die Kombination von SOURCE_DATE_EPOCH, festen UUIDs, dedizierten Hash Seeds und einem angepassten systemd-repart schafft eine Grundlage, mit der bitweise identische Arch Linux Images erzeugt werden können. Dieser Fortschritt trägt signifikant zur Vertrauensbildung, automatisierten Testbarkeit und zum hochwertigeren Release-Management in der Linux-Distribution bei. Für technisch Interessierte gibt es die Möglichkeit, die vollständige Konfiguration und die verwendeten Skripte in einem frei zugänglichen GitHub-Repository nachzuvollziehen.
Wer sich mit dem Thema tieferbefassen möchte, findet dort konkrete Beispiele, Debugging-Hinweise und weiterführende Erläuterungen zur Architektur, die bei der praktischen Anwendung von mkosi hilfreich sind. Neben den technischen Details lohnt es sich außerdem, die aktuellen Entwicklungen im Systemd-Projekt und im Linux-Dateisystem-Ökosystem zu beobachten, da hier kontinuierlich Innovationen den Stand der Technik voranbringen. Die gesteigerte Verfügbarkeit reproduzierbarer Systembilder fördert darüber hinaus nicht nur die technische Qualität, sondern auch eine nachhaltige und transparente Entwicklungskultur innerhalb der Open-Source-Community. Die aufkommende Praxis, auch bei komplexen Systemkomponenten vollständige Reproduzierbarkeit zu gewährleisten, ist ein klares Zeichen für die Professionalität und das wachsende Bewusstsein der Entwickler rund um das Thema Software-Integrität und Sicherheit. Im Endeffekt profitieren Anwender, Entwickler und Unternehmen gleichermaßen von reproduzierbaren Systemimages: Für Nutzer bieten sich stabile und verlässliche Installationsmedien, Entwickler können auf transparente Build-Prozesse vertrauen, und Organisationen profitieren von erhöhten Compliance-Standards.
Gerade im Bereich der Linux-Distributionen wie Arch Linux, die auf Flexibilität und Anpassbarkeit setzen, ist die Sicherstellung von Reproduzierbarkeit ein bedeutendes Qualitätsmerkmal. Der Weg hin zu vollständig reproduzierbaren Arch Linux Images mit mkosi ist damit nicht nur eine technische Herausforderung, sondern auch ein Meilenstein, der die Zukunft der Betriebssystementwicklung im Jahr 2024 und darüber hinaus prägen wird.
![The Impossible Feat inside Your VCR (2017) [video]](/images/99905B9F-722D-4E40-A699-68F0963092E7)