Ubuntu工程师正在讨论减少GRUB签名版本功能的方法，GRUB是启用了安全启动的系统上使用的引导加载程序。

Canonical工程师Julian Klode提议在Ubuntu 26.10之前，放弃对btrfs、HFS+、XFS和ZFS文件系统上的/boot支持，以及GRUB的JPEG和PNG图像解析器。

Apple分区表支持、LVM卷处理、除RAID 1外的所有软件RAID，以及更具争议性的LUKS加密/boot分区也都在被砍掉之列。

据说这些功能大多是从Debian继承而来，但从未在Ubuntu中测试过。

“时机至关重要”，Klode说，并补充说“通过在LTS版本之后直接进行更改，我们可以让受影响用户停留在支持10年的LTS版本上，而不是只有9个月支持的临时版本”。

强调’受影响’是我加的，因为这是最重要的一点：只有那些使用Secure Boot或通过操作系统安装程序未提供的’复杂’引导设置安装Ubuntu的用户，才会被阻止升级到Ubuntu 26.10。

安全是主要动机

GRUB（GRand Unified Bootloader）是启动运行Linux的计算机时看到的带有白色等宽文本的黑色屏幕（以及大多数Linux发行版都使用GRUB）。它让您选择要使用的操作系统、链式引导加载程序或其他功能…

这就是问题所在。

GRUB在Linux之前运行，因此缺乏Linux操作系统包含的保护措施。GRUB拥有的任何组件中的错误，即使Ubuntu不使用它，也可能被攻击者利用——例如，CVE-2024-45774，GRUB的JPEG解析器中的一个漏洞。

但围绕这一提案的戏剧性和恐惧是合理的吗？

大多数安装Ubuntu的人都是使用操作系统安装程序中提供的稳定OOTB选项进行安装的。如果您在ext4上使用全盘加密(FDE)安装了Ubuntu，您的设置不太可能受到影响。

Canonical工程师Máté Kukri澄清了这一点，表示该发行版“不会移除任何类型的FDE支持 […] 完全不会”。

但如果您手动创建了LUKS加密的/boot，将其放在ZFS或btrfs文件系统上，或配置了非RAID-1的软件RAID（正如一些有经验的Ubuntu用户选择的那样），这项提案将使您无法升级到Ubuntu 26.10。

Ubuntu技术委员会成员Thomas Ward指出，该发行版的服务器安装程序默认设置LVM，并且Ubuntu上的LUKS加密目前需要LVM。一些官方系统配置可能会受到相同限制的影响。

Klode主张从/boot中移除LUKS的理由（它提供“通过模糊性实现的安全，而不是实际的安全”）引起了用户的不满，而对其他移除的必要性也受到了质疑（btrfs和XFS没有GRUB的CVE，但保留的squashfs却有）。

提案

安全是一个崇高的目标，经过深思熟虑的合理反馈将塑造这项提案在未来几个月的发展方向。一些用户表示担忧，但并非Canonical的所有工程师都信服这一理由，要求进一步澄清。

目前尚不清楚，阻止复杂设置从26.04 LTS升级到26.10是否会产生重大影响。Ubuntu 28.04 LTS很可能是大多数26.04 LTS用户想要升级的版本。2年的时间足以让这些提案成熟。

毕竟，临时版本的目的是试验和测试实质性更改，为讨论、反馈和完善留出时间——在最坏的情况下，可以回滚。

原文： https://www.omgubuntu.co.uk/2026/03/ubuntu-grub-secure-boot-luks-changes

投稿作者	作者网站

你必须 登录 才能发表评论.

---

请支持IMCN发展！

谁在捐赠

微信捐赠	支付宝捐赠