Компания Canonical предложила внести серьезные изменения в Secure Boot в Ubuntu 26.10, чтобы сократить набор функций загрузчика GRUB в подписанных конфигурациях.
В предложении под названием «Оптимизация безопасной загрузки для версии 26.10», опубликованном на форуме Ubuntu инженером Canonical Джулианом Клоде, рекомендуется использовать минимальную сборку GRUB для систем с безопасной загрузкой, чтобы сократить объем кода, выполняемого в привилегированной среде перед загрузкой.
Предлагаемый подписанный GRUB для безопасной загрузки не будет поддерживать такие функции, как шифрование дисков LUKS, LVM, большинство режимов md-raid, ZFS, Btrfs, а также различные возможности анализа файловых систем и образов. Предполагается, что системы будут загружаться с более простой разметки, как правило, с обычного раздела ext4 /boot в GPT или MBR.
По словам представителей Canonical, это делается исключительно в целях безопасности. GRUB анализирует файловые системы, форматы дисков и другие структуры перед загрузкой операционной системы. Каждый поддерживаемый формат увеличивает поверхность атаки, поэтому сокращение их количества призвано снизить риск возникновения уязвимостей в цепочке безопасной загрузки.
Эти функции будут доступны в системах, которые не используют безопасную загрузку или неподписанные сборки GRUB. Однако в таких конфигурациях не будет защиты, обеспечиваемой безопасной загрузкой.
А теперь самое интересное. Системы, использующие неподдерживаемые функции в режиме безопасной загрузки, не смогут обновиться до Ubuntu 26.10 с помощью стандартного средства обновления. Canonical заявляет, что эти системы останутся на Ubuntu 26.04 LTS, если их не перенастроить.
Как и ожидалось, это предложение вызвало серьёзную обеспокоенность в сообществе. Многие системы Ubuntu, особенно на серверах, используют зашифрованные тома с логическими томами. Пользователи отмечают, что отказ от поддержки Secure Boot потребует внесения изменений в устоявшиеся модели развёртывания.
Пользователи ZFS и Btrfs также высказывают схожие опасения. Эти файловые системы часто используются для рабочих процессов на основе моментальных снимков или в сложных конфигурациях хранения данных. Необходимость в отдельном разделе ext4 /boot меняет структуру и принципы обслуживания этих систем.
Еще одна серьезная проблема — сбои при обновлении. Блокировка обновлений для уязвимых систем оставляет пользователям немного вариантов: переустановка, изменение конфигурации хранилища или отключение безопасной загрузки.
И последнее, но не менее важное: остаются вопросы по поводу поддержки RAID, особенно в части сохранения функциональности md-raid. В связи с этим некоторые аспекты предложения не проясняют, как будут работать зеркальные загрузочные системы в рамках новой модели.
Кроме того, в рамках этого предложения из подписанных сборок GRUB будет удалена поддержка таких форматов изображений, как PNG и JPEG, которые используются для отображения тем GRUB, включая фоновые изображения, иконки и другие визуальные элементы в меню загрузки. В Canonical считают, что сохранение кода для декодирования изображений в пути безопасной загрузки создает ненужную уязвимость.
На данном этапе это изменение является лишь предложением для Ubuntu 26.10. Окончательные детали реализации и решения пока не объявлены. Учитывая масштаб предлагаемых изменений и реакцию сообщества, ожидается, что обсуждение продолжится по мере того, как Canonical будет дорабатывать свой подход.
Выводы
Планы Canonical по переработке GRUB в Ubuntu 26.10 демонстрируют явный сдвиг в сторону усиления безопасности даже ценой функциональности. Основная идея — максимально упростить подписанный загрузчик для Secure Boot, исключив из него потенциально уязвимые компоненты. Это связано с тем, что сложность GRUB и поддержка множества файловых систем и механизмов (LUKS, LVM, RAID и др.) исторически становились источником уязвимостей.
Однако такой подход вызывает неоднозначную реакцию. С одной стороны, минимизация снижает поверхность атаки и делает систему безопаснее. С другой — пользователи теряют гибкость: например, невозможность использовать зашифрованный /boot или современные файловые системы напрямую в GRUB.
Фактически Canonical предлагает выбор:
- либо максимальная безопасность с урезанным функционалом (подписанный GRUB + Secure Boot),
- либо полный функционал, но без Secure Boot (неподписанный GRUB).
Это компромисс, который может особенно затронуть продвинутых пользователей и серверные сценарии. В долгосрочной перспективе изменения могут подтолкнуть сообщество к альтернативным загрузчикам или новым архитектурным решениям.
Часто задаваемые вопросы
Что именно изменится в Ubuntu 26.10?
Canonical планирует значительно упростить подписанную версию GRUB, убрав поддержку ряда файловых систем (Btrfs, ZFS, XFS), LVM, RAID (кроме RAID1) и шифрования LUKS на этапе загрузки.
Почему эти изменения считаются спорными?
Потому что они ограничивают привычные сценарии использования Linux, особенно для продвинутых пользователей, которые активно используют шифрование, RAID и альтернативные файловые системы.
Зачем Canonical это делает?
Основная цель — повышение безопасности. Чем меньше функциональности в загрузчике, тем меньше потенциальных уязвимостей, особенно в контексте Secure Boot.
Можно ли сохранить старый функционал?
Да, но придётся отказаться от Secure Boot и использовать неподписанную версию GRUB с полной поддержкой функций.
Как это повлияет на обычных пользователей?
Большинство пользователей могут не заметить изменений, так как стандартная установка будет работать через простой раздел /boot (EXT4). Но продвинутые конфигурации станут сложнее.
Повлияет ли это на обновление системы?
Да, системы с неподдерживаемыми конфигурациями (например, зашифрованный /boot) могут быть ограничены в обновлении до Ubuntu 26.10.