LINUX.ORG.RU

Ubuntu будет использовать GRUB2 для обеспечения поддержки UEFI Secure Boot

 , ,


0

2

Этим летом компания Canonical сообщала о планах отказаться от использования GRUB2 в качестве первичного загрузчика Ubuntu и перейти на использование первичного загрузчика на основе Intel EFILinux (далее загрузка передавалась бы GRUB2). Однако, совсем недавно из блога Canonical стало известно, что компания уладила все юридические вопросы и будет использовать GRUB2 в своем дистрибутиве как первичный загрузчик.

Разработчики Ubuntu сообщили о внесении корректировок в метод реализации режима безопасной загрузки UEFI в Ubuntu. Изначально разработчики были намерены использовать отдельный первичный загрузчик EFILinux, манипулирующий проверочными ключами Canonical. Новый план подразумевает использование штатного загрузчика GRUB 2, без лишних прослоек. Так же сообщается, что в будущих выпусках Ubuntu 12.10 и 12.04.2 будет использован только GRUB 2.

Подобное решение принято после проведения консультации с Фондом СПО и юристами по вопросу ограничений, накладываемых лицензией GPLv3. Дополнительный загрузчик хотели использовать из-за опасения, что могут возникнуть проблемы при использовании загрузчика GRUB 2, распространяемого под лицензией GPLv3, которая запрещает тивоизацию. Использование GRUB 2 в ситуации, если производитель нарушит требования Canonical и не реализует в прошивке возможность отключения режима безопасной загрузки, может быть рассмотрена как нарушение лицензии GPLv3. В этом случае юристы Canonical опасались, что для выполнения условий лицензии GPLv3, компанию могут обязать предоставить в открытый доступ закрытые ключи, использованные для формирования цифровой подписи. Фонд СПО развеял подобное опасение и указал, что ответственность будет лежать на производителе, не выполнившем условия контракта, поэтому лицензия GPLv3 не мешает изначальному использованию GRUB2 и не может привести к принуждению к публикации закрытых ключей.

Напомним, что в отличие от Fedora Linux, разработчики Ubuntu не намерены заверять цифровыми подписями ядро системы и драйверы, считая что главной задачей является обеспечение работы Ubuntu на системах с включенным режимом безопасной загрузки, а не полная верификация процесса загрузки. Поэтому проверка по цифровой подписи будет производиться только на уровне загрузчика и не будет мешать использованию модифицированных сборок ядра и установке дополнительных драйверов. Формирование подписей для ядра и драйверов не является жестким требованием спецификации UEFI Secure Boot, которая нацелена главным образом на защиту начальной стадии загрузки, до запуска ядра.

Информация с OpenNet

>>> Подробности на английском

Ответ на: комментарий от Nxx

Жду две новости:
1. Марк Шаттлворт и Стив Балмер объявили о помолвке.
2. Марк и Стив: развод и дети в форточку!

sluggard ★★★★★ ()
Ответ на: комментарий от Kindly_Cat

Ну так конечно. Куда же без него? А у вас всё ещё первый Grub? Который не модульный, и не умеет работать с gpt, lvm и прочим, включая ntfs?

lucentcode ★★★★★ ()

Кстати, в последнем релизе Liberté Linux UEFI Secure Boot уже реализован, через подпись образов GRUB2 (и проверке хешей дальше по цепочке). В Ubuntu используется sbsigntool, куда я засылал патчи для поддержки i386 PE/COFF, например.

К слову, от мейнтейнера GRUB поддержки в реализации Secure Boot и подобных технологий ждать не приходится.

liberte ()
Ответ на: комментарий от sluggard

Ещё хотели запилить в Наутилус большую лиловую хрень сбоку, ну типа для управления жестами мыши. Но выпилили не успев запилить. Инннновации, чо.

densss ★★★ ()

Ubuntu лучше всех! Марк - только победа! Злословящие - покайтесь.

anonymous ()
Ответ на: комментарий от Buy

У вас grub.cfg системой изготовленный? Который шрифт на диске с вашим корневым разделом ищет(в debian, ubuntu и arch оно так)? Так он кучу модулей ищет в своём каталоге, ищет файлы шрифтов и т.п. Я как-то накатал сам grub.cfg, грузится стало быстрее. Шрифт по дефолту правда корявый получится, но это не беда.

lucentcode ★★★★★ ()
Ответ на: комментарий от pekmop1024

У меня один раздел для основного загрузчика. И несколько grub2 для каждого дистра. Из основного загрузчика чайнлоадится grub2 на нужном корневом разделе и всё ОК.

lucentcode ★★★★★ ()
Ответ на: комментарий от Sociopsih

Идея, нужно будет вспомнить те крохи знания C, которые я когда-то приобрёл. Надеюсь, ассемблерных вставок там нет? А то ассемблер в нотации AT&T не осилю, мне эта нотация очень не нравится.

lucentcode ★★★★★ ()
Ответ на: комментарий от AS

А вам нужен php в загрузчике? Может ещё тетрис туда запилить? Или qemu?

lucentcode ★★★★★ ()
Ответ на: комментарий от lucentcode

Кроме груба бывают нужны еще другие загрузчики, которые в свою очередь умеют только в мбр. И вот тут начинаются пляски с бубном...

pekmop1024 ★★★★★ ()
Ответ на: комментарий от Mr_Gentoo

вроде же lilo не умеет UEFI

Это, кстати, тоже от лукавого. Зачем он должен уметь какой-то там UEFI ? Это UEFI надо уметь вызывать lilo. Так что, UEFI, пока, не нужен. :-)

AS ★★★★★ ()
Ответ на: комментарий от lucentcode

А вам нужен php в загрузчике? Может ещё тетрис туда запилить? Или qemu?

А что, в Grub, разве, этого нет ещё ? Это Вам, зачем-то, нужен этот монстр...

AS ★★★★★ ()
Ответ на: комментарий от AS

UEFI пока не нужен

все новые компы будут с UEFI. а нужен или нет хз.

лайфстори: я купил ноут с UEFI, хотел лило или легаси grub, но пришлось ставить grub2 и грузить лайв убунту, чтобы установить загрузчик, потому что гентушное установочное ядро собрано без поддержки этого UEFI. короче потерял пару дней пока со всем разобрался.

Mr_Gentoo ()
Ответ на: комментарий от Mr_Gentoo

все новые компы будут с UEFI. а нужен или нет хз.

Ну, пока его наличие не мешает использовать lilo. Режим совместимости ещё никто не отменял, а там видно будет. В конце концов, elilo есть.

AS ★★★★★ ()

Не легальные, а правовые

Sphinx ★★☆☆ ()
Ответ на: комментарий от liberte

Вот вы наверное в курсе! Скажите, не создаёт ли отказ от проверки цифровой подписи ядра возможность использования подписанного GRUB2 из Ubuntu для изготовления руткитов для ноутбуков, доверяющих ключу Microsoft?

RussianNeuroMancer ★★★★★ ()
Ответ на: комментарий от pekmop1024

Тогда только вариант установки grub-install --boot-directory=/boot --no-floppy --recheck --force /dev/sda1

При этом данные из core.img будут раскиданы по списку блоков, которые grub2 величает как blocklist. Если у вас gpt, а не msdos таблица разделов, дело усложняется. Иногда такой метод не срабатывает, блоков этих меньше, чем нужно для core.img То ли образ минимального загрузчика жирный, то ли их меньше чем надо из-за выбранной ОС - я так и не установил, почему иногда их недостаточно. И при таком методе установки grub2 всегда ругается, пишет что это ненадёжный способ. Но если установите, работать будет, это проверено.

lucentcode ★★★★★ ()
Ответ на: комментарий от anonymous

Верните LILO ироды

Вот золотые-то слова!
А то устроили из загрузчика отдельную операционную систему...

Pronin ★★★★ ()
Ответ на: комментарий от RussianNeuroMancer

Как мне видится, весь вопрос в том, как будет вести себя загрузчик при загрузке неподписанного Ubuntu ядра. Вряд ли он загрузит ядро молча — скорее всего, выдаст предупреждение, чего может оказаться достаточно для предотвращения распространения руткита (в Liberté всё происходит именно так). Кроме того, Ubuntu будет использовать свой ключ после установки — уверен, что при загрузке установочного DVD с использованием ключа Microsoft все проверки будут выполнены.

liberte ()

И все-таки торт!

в отличие от Fedora Linux, разработчики Ubuntu не намерены заверять цифровыми подписями ядро системы и драйверы, считая что главной задачей является обеспечение работы Ubuntu на системах с включенным режимом безопасной загрузки, а не полная верификация процесса загрузки. Поэтому проверка по цифровой подписи будет производиться только на уровне загрузчика и не будет мешать использованию модифицированных сборок ядра и установке дополнительных драйверов.

Ubuntu думают об удобстве и фигней не страдают.

thunderamur ()

Убунточка пукнула и опять новость на ЛОРе появилась, дабы обсудить то, как в этот раз сильно завоняло.

anonymous ()
Ответ на: комментарий от lucentcode

А у вас всё ещё первый Grub?

У меня вообще syslinux

не умеет работать с gpt

Какая жалость!

lvm

Никогда не пользовался этим поделием.

ntfs

Интересно, как же это я первогрубом грузил винду?

Kindly_Cat ()

Интересно что мейнтейнер grub в debian и ubuntu - один человек. Для debian grub 2.0 собран на неделю раньше, в ченчлоге ubuntu - «resynchronization with debian» плюс косметические изменения

anonymous ()

нда... теперь чтобы софт писать надо долбанный отдел юристов собрать, IT уже не тот

proofit404 ()

В комментариях недостаточное количество боли от убунтоненавистников. Кого-то вроде не хватает, да? А, точно, сегодня же в школе учебный день.

bloodredfrog ★★ ()
Ответ на: комментарий от lucentcode

первый Grub
не умеет <…> ntfs

Что-что? Да, до выхода второго граба дуалбута вообще не было!

bloodredfrog ★★ ()
Ответ на: комментарий от anonymous

Интересно что мейнтейнер grub в debian и ubuntu - один человек. Для debian grub 2.0 собран на неделю раньше, в ченчлоге ubuntu - «resynchronization with debian» плюс косметические изменения

Ну да, дебиан же — это тестовый полигон для убунты. :)

bloodredfrog ★★ ()
Ответ на: комментарий от bloodredfrog

Chainload же, он почти всеядный. К дуалбуту ntfs отношение имеет весьма слабое.

om-nom-nimouse ★★ ()
Ответ на: комментарий от BlackSecondHand

Проблема тут не в рекламе. Реклама - всего лишь мелкое следствие проблемы.

Quasar ★★★★★ ()
Ответ на: комментарий от om-nom-nimouse

Chainload же, он почти всеядный.

Да без разницы, в общем-то. С точки зрения пользователя винду что раньше можно было загрузить, что сейчас можно. Только раньше быстрее и проще.

К дуалбуту ntfs отношение имеет весьма слабое.

А вроде самое прямое. Ибо NTFS больше ни для чего и не нужен.

bloodredfrog ★★ ()

Да вообще пофиг какой там загрущик. Grub2 только конфигами своими немного не удобный, а вообще пох. Главное чтобы работал.

ps1h ★★ ()
Ответ на: комментарий от Mr_Gentoo

хотел лило или легаси grub

Забыл сказать. Вот с легаси grub точно беда - у него проблемы со сборкой под x86_64, это значит, что biarch и всё такое...

AS ★★★★★ ()
Ответ на: комментарий от ps1h

Grub2 только конфигами своими немного не удобный

немного ?! :-)

AS ★★★★★ ()
Ответ на: комментарий от aptyp

Даже если и форк, это не мешает им взять патчи из форка себе.

firestarter ★★★☆ ()
Ответ на: комментарий от Mr_Gentoo

Elilo, а начиная с ядра 3.3 ядро умеет в UEFI сам себя загружать, с помощью EFIStub (встроенного в ядро) ядро может само стать EFI-приложением и само себя загружать (так говорят загрузка ускоряется в разы, по сравнению с использованием Grub2 или Elilo)

Andrew ★★★ ()

Grub2 - тормоз.

anonymous ()

про подписи сплюнули и забыли?

я так понял, что теперь все кому не лень могут взять загрузчик из бубунты и дальше грузить свой огород? т.е. все те маркетоидные вопли про то, что «только так всё будет интырпрайзно и секурно», уходят в прошлое. только кое-кто срубил чуточку денег?

hawai ()
Ответ на: комментарий от bloodredfrog

С точки зрения пользователя винду что раньше можно было загрузить, что сейчас можно.

Но линукс нельзя установить на раздел ntfs. Конечно, ntfs не нужен, но тем не менее grub 1 его не поддерживает.

goingUp ★★★★★ ()
Ответ на: комментарий от Kindly_Cat

Только при помощи такой кривой конструкции:

title Microsoft Windows XP Professional
root (hd0,0)
savedefault
makeactive
chainloader +1

Ведь вариантов вроде insmod ntfs для чтения ntfs и ntldr для загрузки сразу bootmgr у старого груба не было. Он может только тупо чайнлоадить загрузчик раздела, насколько я помню. Как вариант, можно загружать им grub4dos, а тем bootmgr:)

lucentcode ★★★★★ ()
Последнее исправление: lucentcode (всего исправлений: 1)
Ответ на: комментарий от lucentcode

Только при помощи такой кривой конструкции

Кривой? Бугога.

Что натурально кривое - так это скриптанутые конфиги второго груба.

Kindly_Cat ()
Ответ на: комментарий от anonymous

Интересно что мейнтейнер grub в debian и ubuntu - один человек. Для debian grub 2.0 собран на неделю раньше, в ченчлоге ubuntu - «resynchronization with debian» плюс косметические изменения

Прикольно. Зато все приписали Марку. А он только озвучивает изменения, сделанные в Дебиане.

Nxx ★★★★★ ()
Ответ на: комментарий от sluggard

У него дальше будет: «Поставим вяленд, не будем ставить вяленд».

Quasar ★★★★★ ()
Ответ на: комментарий от bloodredfrog

Был, через чанлоадинг загрузчика активного раздела. И что, разве от этого первый груб умел читать файлы на разделе с ntfs? Не умел, и это факт. Я столько раз писал menu.lst ручками для первого grub, что поверьте мне, отлично знаю предел его возможностей. И именно по этому мне очень симпатична модульная структура второго grub'а. Который из простого загрузчика, как и прошивка UEFI, стал по сути дела миниатюрной операционной системой со своей консолью, в которой есть аналог sh, своими приложениями и модулями. Нужна новая фича? Её реализуют в виде модуля, не затрагивая код ядра загрузчика. А grub первый надо было ковырять конкретно, не было там никакой модульности. И некоторых нужных фич не было, начали появляться проекты вроде grub4dos со своими плюшками...

lucentcode ★★★★★ ()
Ответ на: комментарий от Homura_Akemi

а какже комбайны батхертгенераторы? что впрочем неверно но показываетт общую суть желтизны и невежества порождающих ненависть к этим продуктам..

Thero ★★★★★ ()
Ответ на: комментарий от Kindly_Cat

Они ничуть не сложней когфигов первого груба. Зато им присуща большая гибкость.

lucentcode ★★★★★ ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.