Ubuntu工程师正在讨论减少GRUB签名的功能数量，特别是针对启用Secure Boot的系统。

Canonical工程师Julian Klode 提议移除对btrfs、HFS+、XFS和ZFS文件系统的/boot支持，以及GRUB的JPEG和PNG图像解析器，这将在Ubuntu 26.10之前实施。

Apple分区表支持、LVM卷处理、除RAID 1外的所有软件RAID，以及更有争议的LUKS加密的/boot分区也在被移除之列。

据说这些功能大多是从Debian继承而来，但在Ubuntu中从未经过测试。

“时机至关重要”，Klode表示，并补充说“在LTS版本之后直接进行更改，我们可以让受影响的用户停留在支持10年的LTS版本上，而不是支持9个月的中间版本”。

强调’受影响的’是我加的，因为这是最重要的点：只有那些使用Secure Boot或使用OS安装程序未提供的’复杂’启动设置安装Ubuntu的用户，才会被阻止升级到Ubuntu 26.10。

安全是主要动机

GRUB（GRand Unified Bootloader）是启动运行Linux的计算机时看到的黑色屏幕和白色等宽文本，它让您选择要使用的操作系统、链式引导加载程序或其他功能。

这就是问题所在。

GRUB在Linux运行之前执行，因此缺乏Linux操作系统中的保护措施。GRUB拥有的任何组件中的漏洞，即使Ubuntu不使用它，也可能被攻击者利用，例如CVE-2024-45774，GRUB JPEG解析器中的一个漏洞。

但围绕此提案的戏剧性和恐惧是否合理？

大多数安装Ubuntu的人使用OS安装程序中提供的稳定OOTB选项。如果您在ext4上安装了带有完全磁盘加密(FDE)的Ubuntu，您的设置可能不会受到影响。

Canonical工程师Máté Kukri澄清说，该发行版“完全没有移除任何类型的FDE支持”。

但是，如果您手动创建了LUKS加密的/boot，将其放在ZFS或btrfs文件系统上，或配置了非RAID-1的软件RAID（一些有经验的Ubuntu用户选择这样做），此提案将使您无法升级到Ubuntu 26.10。

Ubuntu技术委员会成员Thomas Ward指出，该发行版的服务器安装程序默认设置LVM，而Ubuntu上的LUKS加密目前需要LVM。一些官方系统配置可能会受到相同限制的影响。

Klode关于从/boot中移除LUKS的说法（它提供”安全通过模糊，但不是实际安全”）受到了用户的批评，而其他移除的必要性也受到了质疑（btrfs和XFS没有GRUB CVE，但保留的squashfs却有）。

提案

安全是崇高的目标，经过深思熟虑的合理反馈将塑造这个提案在未来几个月的发展方向。一些用户表示担忧，但并非所有的Canonical工程师都信服这一理由，要求进一步澄清。

目前尚不清楚阻止从26.04 LTS升级到26.10对复杂设置会产生多大影响。Ubuntu 28.04 LTS很可能是大多数26.04 LTS用户想要升级到的版本。还有2年的时间让这些提案得以实施。

毕竟，中间版本的目的是试验和测试实质性更改，为讨论、反馈和改进留出时间——在最坏的情况下，可以回滚。

原文： https://www.omgubuntu.co.uk/2026/03/ubuntu-grub-secure-boot-luks-changes

投稿作者	作者网站

你必须 登录 才能发表评论.

---

请支持IMCN发展！

谁在捐赠

微信捐赠	支付宝捐赠