A Ubuntu mérnökei azon dolgoznak, hogyan csökkenthetnék a Secure Bootot használó rendszereken futó boot loader, a GRUB aláírt változatában elérhető funkciók számát.

A Canonical mérnöke, Julian Klode azt javasolja, hogy szüntessék meg a támogatást a btrfs, HFS+, XFS és ZFS fájlrendszeren lévő

/boot

esetén, valamint kerüljön ki a GRUB JPEG- és PNG-képfeldolgozója is a Ubuntu 26.10 előtt.

Szintén a kivezetésre váró funkciók között van az Apple partition table támogatása, az LVM kötetek kezelése, minden szoftveres RAID a RAID 1 kivételével, és – a legvitatottabban – a LUKS-szal titkosított

/boot

partíciók támogatása.

Az indoklás szerint ezeknek a funkcióknak a jelentős részét „a Debian-tól örökölték, de Ubuntu-ben sosem tesztelték”.

„Az időzítés kulcsfontosságú” – mondja Klode, és hozzáteszi: „ha közvetlenül egy LTS után végezzük el a változtatásokat, az érintett felhasználók maradhatnak egy 10 évig támogatott LTS kiadáson, ahelyett, hogy egy 9 hónapig támogatott átmeneti kiadásra kényszerülnének”.

Az „érintett” szót én emeltem ki, mert ez a legfontosabb: csak azok nem tudnának frissíteni Ubuntu 26.10-re, akik Secure Bootot használnak, vagy a telepítő által nem támogatott, „összetett” boot beállítással telepítették a Ubuntu-et.

A biztonság a fő motiváció

A GRUB (GRand Unified Bootloader) az a fekete képernyő fehér, monospaced szöveggel, amit akkor látsz, amikor elindítasz egy Linuxot futtató számítógépet (a legtöbb Linux disztribúció GRUB-ot használ). Itt választhatsz operációs rendszert, láncba fűzött boot loadert vagy más funkciót, amit használni szeretnél…

És ez a probléma.

A GRUB még a Linux előtt fut, ezért nem védi az a biztonsági környezet, amit a Linux operációs rendszerek nyújtanak. A GRUB bármely komponensében lévő hiba – akkor is, ha Ubuntu nem használja – potenciálisan kihasználható lehet egy támadó számára. Ilyen például a CVE-2024-45774, egy sérülékenység a GRUB JPEG parserében.

De jogos a felhajtás és az aggodalom a javaslat körül?

A Ubuntu-et telepítők többsége a telepítőben elérhető, stabil alapbeállításokat használja. Ha ext4-re telepítettél, teljes lemeztitkosítással (FDE), akkor nagy eséllyel nem érint a változás.

A Canonical mérnöke, Máté Kukri ezt pontosította is: a disztribúció „semmilyen FDE-támogatást […] nem távolít el”.

Ha viszont kézzel hoztál létre LUKS-szal titkosított

/boot

-ot, ZFS-re vagy btrfs-re tetted, vagy nem RAID-1 típusú szoftveres RAID-et állítottál be (ahogy néhány tapasztalt Ubuntu felhasználó szokta), akkor a javaslat alapján nem tudnál frissíteni Ubuntu 26.10-re.

A Ubuntu Technical Board tagja, Thomas Ward felhívja rá a figyelmet, hogy a disztribúció szervertelepítője alapértelmezetten LVM-et állít be, és hogy a Ubuntu-ben jelenleg a LUKS titkosításhoz LVM szükséges. Így egyes hivatalos rendszerkonfigurációkat is érinthetnek ugyanezek a korlátozások.

Klode érvelése amellett, hogy kivezessék a LUKS-t a

/boot

-ból – szerinte ez „security by obscurity, de nem valódi biztonság” – sok felhasználónál kiverte a biztosítékot. Közben más eltávolítások szükségességét is megkérdőjelezik (a btrfs-nek és az XFS-nek nincs GRUB-hoz köthető CVE-je, a maradó squashfs-nek viszont van).

Javaslatok

A biztonság nemes cél, és a következő hónapokban a megfontolt, tárgyszerű visszajelzések alakítják majd, merre halad tovább ez a javaslat. Néhány felhasználó aggódik, de a Canonical mérnökei közül sem mindenki érzi meggyőzőnek az indoklást, és további pontosítást kérnek.

Nem egyértelmű, mekkora hatása lenne annak, ha az összetett beállításokkal rendelkező rendszerek nem tudnának 26.04 LTS-ről 26.10-re frissíteni. A Ubuntu 28.04 LTS valószínűleg az a kiadás, amire a 26.04 LTS felhasználók többsége frissíteni szeretne. A két évnyi idő elég lehet arra, hogy a javaslatok kiforrjanak.

Végül is az átmeneti kiadások lényege épp az, hogy kipróbálják és leteszteljék a nagyobb változtatásokat, és legyen idő a vitára, a visszajelzésekre és a finomhangolásra – a legrosszabb esetben pedig a visszavonásra.