GRUB 2.14: підтримка UKI, TPM2, EROFS та шифрування Argon2

Ключові моменти:
  • Підтримка уніфікованої обробки образів ядра (UKI) та специфікації BLS.
  • Автоматичне розблокування зашифрованих дисків за допомогою TPM 2.0 та хешу Argon2.
  • Сумісність з файловою системою EROFS та покращення LVM/Btrfs.
  • Масове виправлення вразливостей (CVE) у файлових системах та USB-накопичувачах.
  • Оновлення до Libgcrypt 1.11.0 та підтримка стиснення ZSTD.
David Y. NaranjoОновлено на

4 хвилин

Груб

Кілька днів тому, Оголошено про проєкт GNU офіційний запуск GRUB 2.14, нова стабільна версія його кросплатформного менеджера завантаження.

І це після двох років розробки з версії 2.12, Це оновлення являє собою значний стрибок у безпеці, сумісності обладнання та гнучкості файлової системи, зміцнюючи його позиції як фактичного стандарту в Linux та Unix.

GRUB 2.14 Ключові нові функції

El Найбільш помітною зміною в цій версії є модернізація їхні можливості Безпечне завантаження та керування ключами. GRUB 2.14 впроваджує вбудовану підтримку для механізму "Захист ключа" TPM2«, що дозволяє автоматично розблоковувати зашифровані розділи під час завантаження за допомогою ключів, що зберігаються в модулі довіреної платформи (TPM), спрощуючи взаємодію з користувачем без шкоди для безпеки.

До цьогоТакож включає сумісність зі схемою хешування паролів Argon2. та підтримку протоколу завантаження Shim, що має вирішальне значення для забезпечення перевіреного завантаження в середовищах UEFI Secure Boot.

Що стосується файлової системи, сумісність значно розширено. Додано наступне: Підтримка EROFS (Enhanced Read-Only File System) – система, розроблена Huawei, оптимізована для високої продуктивності в розділах лише для читання зі стисненням. Також Для LVM впроваджуються значні покращення.Це включає можливість моніторингу цілісності даних за допомогою dm-integrity та підтримку конфігурацій cachevol, які прискорюють повільні механічні диски, використовуючи швидкі SSD-накопичувачі як кеш. Користувачі Btrfs тепер можуть зберігати блок змінних середовища GRUB у зарезервованій області заголовка файлової системи, що покращує надійність конфігурації.

Архітектура завантаження також отримала покращення, і в цій новій версії вона отримує...Повна підтримка Уніфіковані образи ядра (UKIЦей формат упаковує ядро, initrd та завантажувальний файл UEFI в один виконуваний PE-файл, що спрощує цифровий підпис та пряме завантаження з прошивки UEFI, що відповідає сучасним тенденціям безпеки Linux. Специфікацію BLS реалізовано (Спеціфікація завантажувача завантажувача), що дозволяє стандартизоване та універсальне налаштування менеджера завантаження за допомогою команди blscfg.

Щодо внутрішньої безпеки, GRUB 2.14 виконав глибоке очищення від вразливостей. Виправлено численні переповнення буфера та цілочисельних даних під час обробки файлових систем, таких як NTFS, HFS+, UFS та SquashFS, а також під час обробки зображень JPEG та tar-архівів. Особливої ​​уваги заслуговують виправлення критичних вразливостей в обробці USB-пристроїв (CVE-2025-61661) та проблеми Use-After-Free в управлінні модулями. Крім того, внутрішню криптографічну бібліотеку перенесено до Libgcrypt 1.11.0, відмовившись від застарілої версії 2013 року 1.5.3, а також додано підтримку декомпресії за допомогою алгоритму ZSTD.

Для системних адміністраторів, яким потрібен суворий контроль, Реалізовано опцію –disable-cli, що Це дозволяє повністю блокувати інтерфейс командного рядка GRUB, запобігання редагуванню пунктів меню неавторизованими користувачами під час запуску. Нарешті, програмне забезпечення є перспективним завдяки підтримці дат після 2038 року, що забезпечує його довговічність.

Нарешті, якщо вам цікаво дізнатися більше про це, ви можете ознайомитися з деталями в наступне посилання.

Завантажте та встановіть

Не в останню чергу слід згадати про те Оновлення вже доступне для більшості дистрибутивів. Linux, тому все, що вам потрібно зробити, це виконати команду оновлення для вашого дистрибутива.

І це Оновлення завантажувача GRUB до версії 2.14 не так вже й просте. як оновити звичайну програму (наприклад, Firefox або LibreOffice), оскільки це критично важливий системний компонент, який зазвичай керується використовуваним вами дистрибутивом Linux.

перо Якщо вам потрібні якісь нові функції (наприклад, підтримка EROFS або розблокування TPM2) А якщо ви не можете дочекатися, можете його скомпілювати. з вихідного коду.

ПОПЕРЕДЖЕННЯ: Якщо цей процес не вдасться, ваша система не завантажиться, і вам доведеться відновлювати її за допомогою Live USB.
  1. Щоб оновити з вихідного коду, перше, що вам потрібно зробити, це Завантажте пакет grub-2.14.tar.gz
  2. Після того встановити залежності збіркиВам знадобляться такі інструменти, як gcc, make, bison, flex, python3, а також бібліотеки розробки (заголовкові файли) для таких речей, як devmapper або fuse, якщо вам потрібні всі функції.
  3. Зібрати та встановити:
tar xzf grub-2.14.tar.gz cd grub-2.14 ./configure --prefix=/usr # Будьте обережні, щоб не перезаписати системний префікс make sudo make install

Нарешті, слід знати, що встановлення програмного забезпечення не оновлює завантажувач у розділі MBR або EFI, тому вам необхідно запустити

grub-встановити

вказуючи на ваш диск.