Загрузчик ОС - Grub 2

[ivm]

Опеннет разместил новость

После двух лет разработки представлен стабильный релиз модульного многоплатформенного менеджера загрузки GNU GRUB 2.06 (GRand Unified Bootloader). GRUB поддерживает широкий спектр платформ, включая обычные ПК с BIOS, платформы IEEE-1275 (оборудование на базе PowerPC/Sparc64), EFI-системы, RISC-V, оборудование на основе MIPS-совместимого процессора Loongson 2E, системы Itanium, ARM, ARM64 и ARCS (SGI), устройства, использующие свободный пакет CoreBoot.

Основные новшества:
- Добавлена поддержка механизма SBAT (UEFI Secure Boot Advanced Targeting), решающего проблемы с отзывом сертификатов, которыми заверены загрузчики для UEFI Secure Boot. SBAT подразумевает добавление новых метаданных, которые заверяются цифровой подписью и могут дополнительно включаться в списки разрешённых или запрещённых компонентов для UEFI Secure Boot. Указанные метаданные позволяют при отзыве манипулировать номерами версий компонентов без необходимости перегенерации ключей для Secure Boot и без формирования новых подписей.
- Добавлена поддержка формата шифрования дисков LUKS2, который отличается от LUKS1 упрощённой системой управления ключами, возможностью использования секторов большого размера (4096 вместо 512, снижает нагрузку при расшифровке), применением символьных идентификаторов разделов и средствами резервирования метаданных с возможностью их автоматического восстановления из копии в случае выявления повреждения.
- Прекращена поддержка коротких MBR gap (область между MBR и началом дискового раздела, в GRUB используется для хранения части загрузчика, не умещающейся в сектор MBR).
- Добавлена поддержка модулей XSM (Xen Security Modules), позволяющих определять дополнительные ограничения и полномочия для гипервизора Xen, виртуальных машин и связанных с ними ресурсов.
- Реализован механизм lockdown, похожий на аналогичный набор ограничений в ядре Linux. Lockdown блокирует возможные пути обхода UEFI Secure Boot, например, запрещает доступ к некоторым интерфейсам ACPI и MSR-регистрам CPU, ограничивает использование DMA для PCI-устройств, блокирует импорт кода ACPI из переменных EFI, не допускаются манипуляции с портами ввода/вывода.
- По умолчанию отключена утилита os-prober, находящая загрузочные разделы других ОС и добавляющая их в загрузочное меню.
- Бэкпортированы патчи, подготовленные различными дистрибутивами Linux.
- Устранены уязвимости BootHole и BootHole2.
- Реализована возможность сборки с использованием GCC 10 и Clang 10.

[vita]

В меню Grub имеется возможность через Дополнительные параметры воспользоваться для восстановления системы режимом Recovery mode, который примечателен тем, что содержит предустановленные утилиты для восстановления. За наличие в системе режима Recovery mode отвечает пакет  friendly-recovery (в переводе - дружеское восстановление). Режим восстановления связан с каждым установленным ядром системы, поэтому если установлено несколько ядер, нужно сделать выбор пункта recovery mode оптимального ядра.
После клика загрузится меню режима восстановления Ubuntu

из доступных вариантов:
resume - продолжить нормальную загрузку системы;
clean - попытаться освободить место на диске;
dpkg - восстановление поврежденных пакетов;
failsafeX - запустить графический безопасный режим;
fsck - проверить все файловые системы на ошибки;
grub - обновить настройки загрузчика Grub;
network - Включить поддержку сети;
root - войти в консоль от имени суперпользователя;
system-summary - информация о системе.

Пункт "clean" позволяет очистить лишние пакеты.
С помощью пункта "dpkg" можно попытаться восстановить поврежденные пакеты и выполнить обновление системы, если оно было внезапно прервано.
Следующий пункт "failsafeX" позволяет запустить графическую оболочку в безопасном режиме. На первом шаге программа предупредит, что используются минимальные графические настройки.
В следующем окне можно выбрать несколько вариантов для исправления системы. При выборе "Troubleshoting" можно ознакомиться с логами загрузки X сервера или отредактировать конфигурационный файл X. С помощью опции "Reconfigure graphics" можно сбросить настройки X сервера, если они были изменены до параметров по умолчанию. Самый первый пункт в списке "Try running with default graphics mode" позволяет попробовать загрузить графический режим по умолчанию.
Пункт главного меню режима восстановления "fsck" позволяет проверить файловую систему на ошибки для всех подключенных к системе разделов.
Пункт "grub" позволяет перегенерировать конфигурационный файл загрузчика Grub.
С помощью опции "network" можно подключить сетевое соединение.
И последний, один из самых полезных пунктов, "root". Он позволяет получить доступ к консоли операционной системы с правами пользователя root. Здесь будет доступна привычная командная среда, где можно выполнять различные команды Bash, чтобы починить свою систему. Но нужно обратить внимание на то, что корневая файловая система смонтирована в режиме только для чтения. Поэтому для внесения каких-либо правок, кроме проверки диска на ошибки в fsck, то придётся сделать её доступной для записи:

Код: [Выделить]

sudo mount -o remount,rw /Для монтирования домашней папки и папка /boot, которые по умолчанию отмонтированы, необходимо выполнить команду:

Код: [Выделить]

mount --allNetworkManager можно запустить командой:

Код: [Выделить]

NetworkManager Для правильного разрешения доменных имен создать файл /etc/resolv.conf:

Код: [Выделить]

echo "nameserver 8.8.8.8" > /etc/resolv.conf
При наличии сети можно делать все необходимые задачи, например, обновить систему, удалить драйвера, сбросить пароль и многое другое. Возврат в главное меню режима восстановления вызывается сочетанием клавиш Ctrl+D.
Для загрузки системы в нормальном (графическом) режиме выбирается пункт "resume". Но с учётом, что некоторые видео драйвера могут после некоторых настроек в режиме восстановления некорректно работать, лучше выполнить перезагрузку для возврата в полностью работоспособную систему.
Для написания сообщения использовались статьи: ВОССТАНОВЛЕНИЕ UBUNTU и Как загрузиться в режим восстановления или аварийный режим в Ubuntu 18.04.

[ivm]

Конечно, пусть будет режим восстановления, но появился он в те времена, когда система была крайне нестабильной. В настоящее время только кривые руки могут повредить Ubuntu.

[vita]

Иногда требуется сделать так, чтобы на компьютере с двумя и более ОС (Ubuntu и Windows) по умолчанию загружалась Windows.
Для этого нужно во время показа на экране меню GRUB сосчитать количество отображаемых строчек ...

В современных дистрибутивах для приоритетной загрузки какой-либо операционной системы считать теперь нужно не строчки, а количество систем, отображаемых последовательно в меню Grub. Например, у меня отобразились три: Ubuntu, Windows и Matuntu. Мне нужно, чтобы первой загружалась Matuntu.
В редактируемом с правами администратора файле /etc/default/grub значение переменной GRUB_DEFAULT=0 меняю на GRUB_DEFAULT=3 и, как и раньше, обновляю Grub:

Код: [Выделить]

sudo update-grub
После проведённых действий по умолчанию первой загружается Matuntu.

[vita]

Вчера в тестируемой Matuntu-J на базовой основе Ubuntu 22.04 обновился Grub до версии 2.06, вызвавший недоумение усечённым меню. Своими впечатлениями поделилась  и нашла решение по возврату полноценного меню Grub. Кстати, включение в файл /etc/default/grub строки меню GRUB_DISABLE_OS_PROBER="true" при необходимости позволит использовать укороченное меню и в предыдущих версиях Grub.
Как утверждается на сайте servernews.ru, в новой версии появились поддержка механизма SBAT (UEFI Secure Boot Advanced Targeting), который упрощает работу с компонентами для UEFI Secure Boot, а также механизм блокировки Lockdown, который не позволяет обойти Secure Boot. Теперь также поддерживаются зашифрованные тома LUKS2 и модули XSM/FLASK. Последние нужны для работы виртуальных машин и гипервизора Xen. С помощью этих модулей можно гибко определять права и ограничения для ВМ.
Кроме отключения утилиты os-prober, которая автоматически находила загрузочные разделы других ОС и добавляла их в загрузочное меню, были устранены ошибки и добавлены патчи из разных дистрибутивов Linux. Наконец, появилась возможность сборки GRUB с использованием GCC 10 и Clang 10.

[ivm]

После обновления Grub 2.6 всё вернулось на круги своя. Вносить изменения в конфиг граба теперь не требуется.

[butjapka]

Grub Customizer удален из репозитория Ubuntu 22.04 из-за проблемы с логикой. Подробнее об этой ошибке
В общем, Grub Customizer работает для того, что он делает, но у него есть логическая проблема о том, как он делает настройки, которые могут вызвать проблемы (особенно для обновления системы). Так ЧТО УСТАНАВЛИВАЙТЕ И ИСПОЛЬЗУЙТЕ ЕГО НА СВОЙ СТРАХ И РИСК!
Во-первых, загрузите официальный пакет для бета-версии Ubuntu 22.04
Затем нажмите Ctrl + Alt + T на клавиатуре, чтобы открыть терминал. Когда он откроется, выполните команду для установки загруженного пакета deb:

Код: [Выделить]

sudo apt install ./Downloads/grub-customizer_5.1.0-3build1_amd64.debПользуйтесь...
Источник
Перевод - яндекс переводчик

[vita]

Проблемы с Grub Customizer замечались и ранее, поэтому давно отказалась от его применения.

[butjapka]

ну видать у кого как, пока не сталкивался. Отрабатывает нормально.

[vita]

В Matuntu-J на основе Ubuntu 22.04 замечена странность. При обновлении Grub "не видит" дистрибутивы промежуточных релизов Ubuntu. Решением могут быть либо применение загрузчика из Matuntu-N (Ubuntu 24.04), либо загрузка отсутствующей в списке Grub системы при помощи rEFInd.

[ivm]

На comss.ru размещена информация, что Ubuntu 26.10 лишит подписанный GRUB поддержки Btrfs, ZFS и LUKS.
Из подписанной сборки загрузчика GRUB удалят поддержку Btrfs, XFS, ZFS, LVM и шифрования LUKS. Раздел /boot потребует EXT4 при включённой безопасной загрузке UEFI.

Разработчики Canonical предложили радикально сократить функциональность подписанного загрузчика GRUB в Ubuntu 26.10. Из сборки, необходимой для работы безопасной загрузки (Secure Boot), планируется удалить поддержку файловых систем Btrfs, XFS, ZFS и HFS+, менеджера логических томов LVM, программного RAID (md-raid) за исключением RAID1, а также шифрования дисков LUKS. Причина — парсеры и вспомогательные модули GRUB стали постоянным источником уязвимостей.

Предложение 25 марта 2026 опубликовал Юлиан Андрес Клоде (Julian Andres Klode) на форуме Ubuntu Discourse. По его словам, сокращение подписанной сборки до минимума «существенно повысит безопасность» и упростит переход на альтернативные загрузочные решения в будущем.
Что именно удаляется из подписанного GRUB
Предложение затрагивает исключительно подписанную сборку GRUB — ту, которая используется при включённой безопасной загрузке UEFI. Полнофункциональная неподписанная сборка останется доступной.
Из подписанного GRUB планируется убрать:
• файловые системы: Btrfs, XFS, ZFS, HFS+. Останутся только EXT4, FAT, ISO 9660 и SquashFS (для snap-пакетов);
• форматы изображений: JPEG и PNG. Разработчики пояснили, что изображения в GRUB не используются, а их поддержка в подписанной сборке создаёт дополнительный вектор атаки;
• таблицы разделов: Apple Partition Map. Останутся GPT и MBR;
• менеджер логических томов LVM;
• программный RAID (md-raid), за исключением RAID1;
• шифрование дисков LUKS.
• LUKS (Linux Unified Key Setup) — стандартная спецификация шифрования дисков в Linux. Позволяет зашифровать раздел целиком и управлять несколькими ключами доступа через утилиту cryptsetup.
Практические последствия для пользователей
После внедрения изменений раздел /boot при включённой безопасной загрузке должен располагаться на обычном разделе EXT4 — отдельном или внутри корневого раздела. Зашифровать загрузочный раздел через LUKS при использовании подписанного GRUB станет невозможно.
Пользователи ZFS, XFS и Btrfs смогут продолжать использовать эти файловые системы для корневого и остальных разделов, но /boot придётся вынести на EXT4. Сама Ubuntu сохранит полную поддержку всех перечисленных файловых систем и технологий — ограничения касаются исключительно загрузчика.
Программный RAID1 для раздела /boot по-прежнему будет работать. По словам разработчиков, на практике большинство RAID-конфигураций строится на зеркалировании загрузочного раздела, а не на размещении /boot поверх массива, поэтому потери минимальны.
Безопасная загрузка (Secure Boot) — механизм UEFI, который проверяет цифровую подпись каждого компонента в цепочке загрузки: прошивки, загрузчика, ядра. Подписанный GRUB в Ubuntu заверяется ключом Canonical.
Альтернативы и защита от поломок
Для тех, кому перечисленные функции необходимы, останется неподписанная сборка GRUB с полным набором возможностей. Однако использовать безопасную загрузку UEFI с ней не получится.
Механизм обновления Ubuntu 26.04 LTS по умолчанию заблокирует переход на 26.10 для систем, чья загрузочная конфигурация использует удаляемые функции. Пользователи таких систем останутся на LTS-выпуске и не столкнутся с неработающей загрузкой после обновления.
В обсуждении на Ubuntu Discourse участники предложили рассмотреть переход на systemd-boot как альтернативу урезанному GRUB. Разработчики отметили, что systemd-boot работает только в режиме UEFI, тогда как GRUB поддерживает и BIOS, и UEFI, а также множество аппаратных архитектур помимо x86.