GRUB 2.14: Suport UKI, TPM2, EROFS și criptare Argon2

Puncte cheie:
  • Suport pentru Unified Kernel Imaging (UKI) și specificațiile BLS.
  • Deblocarea automată a discurilor criptate folosind TPM 2.0 și hash-ul Argon2.
  • Compatibilitate cu sistemul de fișiere EROFS și îmbunătățiri aduse LVM/Btrfs.
  • Corecție masivă a vulnerabilităților (CVE) în sistemele de fișiere și unitățile USB.
  • Actualizare la Libgcrypt 1.11.0 și suport pentru compresia ZSTD.
David Y. NaranjoActualizat la

Minute 4

haleală

Acum câteva zile, Proiectul GNU anunțat lansarea oficială a GRUB2.14, noua versiune stabilă a managerului său de boot multiplatformă.

Și asta după doi ani de dezvoltare de la versiunea 2.12, Această actualizare reprezintă un salt semnificativ în ceea ce privește securitatea, compatibilitatea hardware și flexibilitatea sistemului de fișiere, consolidându-i poziția de standard de facto în Linux și Unix.

GRUB 2.14 Caracteristici noi cheie

El Cea mai notabilă schimbare a acestei versiuni este modernizarea capacitățile lor de Pornire securizată și gestionare a cheilor. GRUB2.14 introduce suport nativ pentru mecanismul „Protecție cheie” TPM2„, care permite deblocarea automată a partițiilor criptate în timpul pornirii folosind chei stocate în Trusted Platform Module (TPM), simplificând experiența utilizatorului fără a sacrifica securitatea.

La aceastaDe asemenea, include compatibilitate cu schema hash a parolei Argon2. și suport pentru protocolul de încărcare Shim, crucial pentru asigurarea unei porniri verificate în mediile UEFI Secure Boot.

În ceea ce privește sistemul de fișiere, compatibilitatea a fost extinsă considerabil. Au fost adăugate următoarele: Suport EROFS (Enhanced Read-Only File System), un sistem dezvoltat de Huawei optimizat pentru performanțe ridicate în partiții doar pentru citire cu compresie. De asemenea, Se introduc îmbunătățiri semnificative pentru LVMAceasta include capacitatea de a monitoriza integritatea datelor folosind dm-integrity și suport pentru configurațiile cachevol, care accelerează discurile mecanice lente prin utilizarea SSD-urilor rapide ca memorie cache. Utilizatori Btrfs, acum este posibil să stocați blocul de variabile a mediului GRUB într-o zonă rezervată a antetului sistemului de fișiere, îmbunătățind robustețea configurației.

Arhitectura de bootare a primit și ea îmbunătățiri, iar odată cu această nouă versiune, primește...Sprijin deplin pentru Imagini de kernel unificate (UKIAcest format împachetează kernelul, initrd și fișierul de boot UEFI într-un singur fișier executabil PE, facilitând semnarea digitală și bootarea directă din firmware-ul UEFI, aliniindu-se cu tendințele moderne de securitate Linux. În plus, Specificația BLS a fost implementată (Specificația încărcătorului de boot), permițând o configurare standardizată și universală a managerului de boot folosind comanda blscfg.

În ceea ce privește securitatea internă, GRUB 2.14 a efectuat o curățare profundă a vulnerabilităților. Au fost remediate multiple probleme de depășire a bufferelor și a numerelor întregi în gestionarea sistemelor de fișiere precum NTFS, HFS+, UFS și SquashFS, precum și în procesarea imaginilor JPEG și a arhivelor tar. Deosebit de importante sunt corecțiile vulnerabilităților critice în gestionarea dispozitivelor USB (CVE-2025-61661) și problemele Use-After-Free în gestionarea modulelor. În plus, biblioteca criptografică internă a fost migrată la Libgcrypt 1.11.0, abandonând versiunea 1.5.3 din 2013, care era învechită, și a fost adăugat suport pentru decompresie folosind algoritmul ZSTD.

Pentru administratorii de sistem care necesită un control strict, Opțiunea –disable-cli a fost implementată,Îți permite să blochezi complet interfața GRUB din linia de comandă, împiedicând utilizatorii neautorizați să modifice intrările din meniu în timpul pornirii. În cele din urmă, software-ul este pregătit pentru viitor, cu suport pentru date de după 2038, asigurându-i longevitatea operațională.

În cele din urmă, dacă sunteți interesat să aflați mai multe despre acesta, puteți consulta detaliile în următorul link.

Descărcați și instalați

Nu în ultimul rând, trebuie menționat că Actualizarea este acum disponibilă pe majoritatea distribuțiilor. de Linux, deci tot ce trebuie să faci este să rulezi comanda de actualizare pentru distribuția ta.

Și asta Actualizarea bootloader-ului GRUB la versiunea 2.14 nu este atât de simplă cum să actualizezi o aplicație normală (cum ar fi Firefox sau LibreOffice), deoarece este o componentă critică a sistemului, de obicei gestionată de distribuția Linux pe care o utilizezi.

Dar Dacă aveți nevoie de funcții noi (cum ar fi suportul EROFS sau deblocarea TPM2) Și dacă nu poți aștepta, îl poți compila. din codul sursă.

AVERTISMENT: Dacă acest proces eșuează, sistemul nu va porni și va trebui să îl recuperați utilizând un Live USB.
  1. Pentru a actualiza din codul sursă, primul lucru pe care trebuie să-l faceți este Descărcați pachetul grub-2.14.tar.gz
  2. Dupa aceea instalați dependențele de compilareVei avea nevoie de instrumente precum gcc, make, bison, flex, python3 și bibliotecile de dezvoltare (headere) pentru lucruri precum devmapper sau fuse dacă vrei toate funcționalitățile.
  3. Compilați și instalați:
tar xzf grub-2.14.tar.gz cd grub-2.14 ./configure --prefix=/usr # Aveți grijă să nu suprascrieți prefixul de sistem make sudo make install

În cele din urmă, trebuie să știți că instalarea software-ului nu actualizează bootloader-ul din partiția MBR sau EFI și, prin urmare, trebuie să rulați

grub-install

arătând spre discul dumneavoastră.