Canonical 提议对 Ubuntu 26.10 中的安全启动进行重大更改,旨在减少签名配置中 GRUB 引导加载程序的功能集。
Canonical 工程师 Julian Klode 在 Ubuntu 的 Discourse 论坛上发表了题为“简化 26.10 的安全启动”的提案,建议为安全启动系统提供最小的 GRUB 构建,以减少在特权预启动环境中执行的代码。
拟议的用于安全启动的签名版 GRUB 将移除对 LUKS 磁盘加密、LVM、大多数 md-raid 模式、ZFS、Btrfs 以及各种文件系统和镜像解析功能的支持。系统预计将从更简单的布局启动,通常是/bootGPT 或 MBR 上的普通 ext4 分区。
据 Canonical 公司称,这一切都是为了安全。GRUB 会在操作系统加载之前解析文件系统、磁盘格式和其他结构。每增加一种支持的格式,攻击面就会扩大一分,因此缩小支持范围旨在降低安全启动链中出现漏洞的风险。
即使系统未使用安全启动或使用未签名的 GRUB 版本,这些功能仍然可用。但是,这些配置将无法享受安全启动的保护。
现在情况变得有趣起来。如果系统依赖于安全启动路径中不受支持的功能,则无法使用标准版本升级程序升级到 Ubuntu 26.10。Canonical 表示,除非重新配置,否则这些系统将停留在 Ubuntu 26.04 LTS 版本。
不出所料,该提案在社区讨论中引发了广泛关注。许多 Ubuntu 系统,尤其是在服务器上,都依赖于 LVM 加密卷。用户指出,移除安全启动路径中的支持将需要对现有的部署模型进行更改。
ZFS 和 Btrfs 用户也表达了类似的担忧。这些文件系统通常用于基于快照的工作流程或高级存储配置。要求使用单独的 ext4/boot分区会改变这些系统的结构和维护方式。
升级中断是另一个主要问题。阻止受影响系统的升级会使用户几乎别无选择,例如重新安装、重新配置存储布局或禁用安全启动。
最后,关于 RAID 支持仍然存在疑问,特别是要保留的 md-raid 功能范围。鉴于此,提案中关于镜像启动设置在新模式下如何运作的某些方面尚不明确。
为了更全面地说明问题,该提案还移除了已签名 GRUB 构建版本中对 PNG 和 JPEG 等图像格式的支持,这些格式用于渲染 GRUB 主题,包括启动菜单中的背景图像、图标和其他视觉元素。Canonical 认为,将图像解码代码保留在安全启动路径中会增加不必要的攻击面。
目前,这项变更仍是针对 Ubuntu 26.10 的提案。尚未公布最终的实施细节或决定。鉴于拟议变更的范围以及社区的反馈,随着 Canonical 不断完善其方案,预计相关讨论还将继续。
