На
comss.ru размещена информация, что Ubuntu 26.10 лишит подписанный GRUB поддержки Btrfs, ZFS и LUKS.
Из подписанной сборки загрузчика GRUB удалят поддержку Btrfs, XFS, ZFS, LVM и шифрования LUKS. Раздел /boot потребует EXT4 при включённой безопасной загрузке UEFI.
Разработчики Canonical предложили радикально сократить функциональность подписанного загрузчика GRUB в Ubuntu 26.10. Из сборки, необходимой для работы безопасной загрузки (Secure Boot), планируется удалить поддержку файловых систем Btrfs, XFS, ZFS и HFS+, менеджера логических томов LVM, программного RAID (md-raid) за исключением RAID1, а также шифрования дисков LUKS. Причина — парсеры и вспомогательные модули GRUB стали постоянным источником уязвимостей.
Предложение 25 марта 2026 опубликовал Юлиан Андрес Клоде (Julian Andres Klode) на форуме Ubuntu Discourse. По его словам, сокращение подписанной сборки до минимума «существенно повысит безопасность» и упростит переход на альтернативные загрузочные решения в будущем.
Что именно удаляется из подписанного GRUBПредложение затрагивает исключительно подписанную сборку GRUB — ту, которая используется при включённой безопасной загрузке UEFI. Полнофункциональная неподписанная сборка останется доступной.
Из подписанного GRUB планируется убрать:• файловые системы: Btrfs, XFS, ZFS, HFS+. Останутся только EXT4, FAT, ISO 9660 и SquashFS (для snap-пакетов);
• форматы изображений: JPEG и PNG. Разработчики пояснили, что изображения в GRUB не используются, а их поддержка в подписанной сборке создаёт дополнительный вектор атаки;
• таблицы разделов: Apple Partition Map. Останутся GPT и MBR;
• менеджер логических томов LVM;
• программный RAID (md-raid), за исключением RAID1;
• шифрование дисков LUKS.
• LUKS (Linux Unified Key Setup) — стандартная спецификация шифрования дисков в Linux. Позволяет зашифровать раздел целиком и управлять несколькими ключами доступа через утилиту cryptsetup.
Практические последствия для пользователейПосле внедрения изменений раздел /boot при включённой безопасной загрузке должен располагаться на обычном разделе EXT4 — отдельном или внутри корневого раздела. Зашифровать загрузочный раздел через LUKS при использовании подписанного GRUB станет невозможно.
Пользователи ZFS, XFS и Btrfs смогут продолжать использовать эти файловые системы для корневого и остальных разделов, но /boot придётся вынести на EXT4. Сама Ubuntu сохранит полную поддержку всех перечисленных файловых систем и технологий — ограничения касаются исключительно загрузчика.
Программный RAID1 для раздела /boot по-прежнему будет работать. По словам разработчиков, на практике большинство RAID-конфигураций строится на зеркалировании загрузочного раздела, а не на размещении /boot поверх массива, поэтому потери минимальны.
Безопасная загрузка (Secure Boot) — механизм UEFI, который проверяет цифровую подпись каждого компонента в цепочке загрузки: прошивки, загрузчика, ядра. Подписанный GRUB в Ubuntu заверяется ключом Canonical.
Альтернативы и защита от поломокДля тех, кому перечисленные функции необходимы, останется неподписанная сборка GRUB с полным набором возможностей. Однако использовать безопасную загрузку UEFI с ней не получится.
Механизм обновления Ubuntu 26.04 LTS по умолчанию заблокирует переход на 26.10 для систем, чья загрузочная конфигурация использует удаляемые функции. Пользователи таких систем останутся на LTS-выпуске и не столкнутся с неработающей загрузкой после обновления.
В обсуждении на Ubuntu Discourse участники предложили рассмотреть переход на
systemd-boot как альтернативу урезанному GRUB. Разработчики отметили, что systemd-boot работает только в режиме UEFI, тогда как GRUB поддерживает и BIOS, и UEFI, а также множество аппаратных архитектур помимо x86.
Последние сообщения