Veröffentlichung des Bootloaders GNU GRUB 2.06

Nach zwei Jahren Entwicklung wird die stabile Version des modularen plattformübergreifenden Bootmanagers GNU GRUB 2.06 (GRand Unified Bootloader) vorgestellt. GRUB unterstützt eine Vielzahl von Plattformen, darunter herkömmliche PCs mit BIOS, IEEE-1275-Plattformen (Hardware auf Basis von PowerPC/Sparc64), EFI-Systeme, RISC-V, Geräte mit MIPS-kompatiblen Loongson 2E-Prozessoren, Itanium-Systeme, ARM, ARM64 und ARCS (SGI), sowie Geräte, die das freie CoreBoot-Paket verwenden.

Hauptneuheiten:

  • Die Unterstützung des SBAT-Mechanismus (UEFI Secure Boot Advanced Targeting) wurde hinzugefügt, der Probleme mit dem Widerruf von Zertifikaten löst, die Bootloader für UEFI Secure Boot signieren. SBAT beinhaltet die Hinzufügung neuer Metadaten, die mit einer digitalen Signatur versehen sind und zusätzlich in die Listen der erlaubten oder gesperrten Komponenten für UEFI Secure Boot aufgenommen werden können. Diese Metadaten ermöglichen es, die Versionsnummern von Komponenten bei einem Widerruf zu manipulieren, ohne dass Schlüssel für Secure Boot neu generiert und keine neuen Signaturen erstellt werden müssen.
  • Unterstützung für das LUKS2-Verschlüsselungsformat wurde hinzugefügt, das sich von LUKS1 durch ein vereinfachtes Schlüsselmanagementsystem, die Möglichkeit zur Verwendung von großen Sektoren (4096 anstelle von 512, was die Last bei der Entschlüsselung verringert), die Verwendung von symbolischen Bezeichnern für Partitionen sowie Mechanismen zur Sicherung von Metadaten mit der Möglichkeit ihrer automatischen Wiederherstellung aus einer Kopie im Falle von Beschädigungen unterscheidet.
  • Die Unterstützung für kurze MBR-Gaps (Bereich zwischen MBR und dem Beginn der Festplattenpartition, der in GRUB zur Speicherung eines Teils des Bootloaders verwendet wird, der nicht in den MBR-Sektor passt) wurde eingestellt.
  • Unterstützung für XSM-Module (Xen Security Modules) wurde hinzugefügt, die zusätzliche Beschränkungen und Berechtigungen für den Xen-Hypervisor definieren. virtuellen Maschinen und die damit verbundenen Ressourcen.
  • Ein Lockdown-Mechanismus wurde implementiert, der dem entsprechenden Satz von Einschränkungen im Linux-Kernel ähnelt. Lockdown blockiert mögliche Umgehungswege für das UEFI Secure Boot, indem beispielsweise der Zugriff auf bestimmte ACPI- und CPU-MSR-Register verhindert, die Nutzung von DMA für PCI-Geräte eingeschränkt und der Import von ACPI-Code aus EFI-Variablen blockiert sowie Manipulationen mit Ein-/Ausgabe-Ports untersagt werden.
  • Die os-prober Utility ist standardmäßig deaktiviert, die Boot-Partitionen anderer Betriebssysteme erkennt und in das Boot-Menü einfügt.
  • Patches wurden von verschiedenen Linux-Distributionen zurückportiert.
  • Die Sicherheitsanfälligkeiten BootHole und BootHole2 wurden behoben.
  • Die Möglichkeit zum Bauen mit GCC 10 und Clang 10 wurde implementiert.

Quelle: opennet.ru

Kaufen Sie zuverlässiges Hosting für Websites mit DDoS-Schutz, VPS VDS-Server 🔥 Kaufen Sie zuverlässiges Hosting für Websites mit DDoS-Schutz, VPS VDS-Server | ProHoster