Ubuntu工程师正在讨论减少启用了Secure Boot的系统中使用的引导加载程序GRUB的已签名版本中功能数量的方法。

Canonical工程师Julian Klode 提议移除 对btrfs、HFS+、XFS和ZFS文件系统上的/boot支持，以及GRUB的JPEG和PNG图像解析器，这些变化将在Ubuntu 26.10之前实施。

Apple分区表支持、LVM卷处理、除RAID 1外的所有软件RAID，以及更有争议性的LUKS加密/boot分区也在被移除之列。

据说这些功能中的许多”是从Debian继承而来，但在Ubuntu中从未经过测试”。

“这里的时机至关重要”，Klode表示，并补充说“在LTS版本之后直接进行更改，我们可以让受影响的用户停留在支持10年的LTS版本上，而不是支持9个月的中间版本”。

强调’受影响的’是我添加的，因为这是最重要的点：只有使用Secure Boot或通过非操作系统安装程序提供的’复杂’引导设置安装Ubuntu的用户才会被阻止升级到Ubuntu 26.10。

安全是主要动机

GRUB（GRand Unified Bootloader）是你启动运行Linux的计算机时看到的黑底白字屏幕（大多数Linux发行版都使用GRUB）。它让你选择想要使用的操作系统、链式引导加载程序或其他功能…

这就是问题所在。

GRUB在Linux运行之前执行，因此缺乏Linux操作系统包含的保护措施。GRUB拥有的任何组件中的漏洞，即使Ubuntu不使用它，也可能被攻击者利用——例如，CVE-2024-45774，GRUB JPEG解析器中的一个漏洞。

但围绕这一提议的争议和恐慌是否有道理？

大多数安装Ubuntu的人使用操作系统安装程序中提供的稳定OOTB选项。如果你在ext4上安装了完整的磁盘加密(FDE)，你的设置可能不会受到影响。

Canonical工程师Máté Kukri澄清说，该发行版“完全没有移除任何类型的FDE支持[…]”。

但如果你手动创建了LUKS加密的/boot，将其放在ZFS或btrfs文件系统上，或配置了非RAID-1的软件RAID（如一些有经验的Ubuntu用户选择的那样），此提议将使你无法升级到Ubuntu 26.10。

Ubuntu技术委员会成员Thomas Ward 指出，该发行版的服务器安装程序默认设置LVM，并且Ubuntu上的LUKS加密目前需要LVM。一些官方系统配置可能会受到相同限制的影响。

Klode关于从/boot中移除LUKS的论点（它提供”安全通过模糊性，而非实际安全”）受到了用户的批评，而其他移除的必要性也受到了质疑（btrfs和XFS没有GRUB CVE，但保留的squashfs却有）。

提议

安全是一个崇高的目标，在接下来的几个月中，合理、平衡的反馈将塑造这一提案的发展方向。一些用户表示担忧，但并非Canonical的所有工程师都被这一理由说服，要求进一步澄清。

尚不清楚阻止从26.04 LTS升级到26.10的复杂设置会产生多大影响。Ubuntu 28.04 LTS很可能是大多数26.04 LTS用户想要升级到的版本。距离2年还有时间让这些提议得到落实。

毕竟，中间版本的目的是试验和测试实质性更改，为讨论、反馈和改进留出时间——在最坏的情况下，可以回滚。

原文： https://www.omgubuntu.co.uk/2026/03/ubuntu-grub-secure-boot-luks-changes

投稿作者	作者网站

你必须 登录 才能发表评论.

---

请支持IMCN发展！

谁在捐赠

微信捐赠	支付宝捐赠