Setelah dua tahun pengembangan, rilis stabil dari boot manager multi-platform modular GNU GRUB 2.06 (GRand Unified Bootloader) telah disajikan. GRUB mendukung berbagai platform, termasuk PC konvensional dengan BIOS, platform IEEE-1275 (perangkat keras berbasis PowerPC/Sparc64), sistem EFI, RISC-V, perangkat keras berbasis prosesor Loongson 2E yang kompatibel dengan MIPS, Itanium, ARM, ARM64 dan ARCS (SGI), perangkat yang menggunakan paket CoreBoot gratis.
Inovasi utama:
- Menambahkan dukungan untuk mekanisme SBAT (UEFI Secure Boot Advanced Targeting), yang memecahkan masalah pencabutan sertifikat yang digunakan untuk mengautentikasi boot loader untuk UEFI Secure Boot. SBAT melibatkan penambahan metadata baru, yang ditandatangani secara digital dan juga dapat dimasukkan dalam daftar komponen yang diizinkan atau dilarang untuk UEFI Secure Boot. Metadata yang ditentukan memungkinkan Anda memanipulasi nomor versi komponen selama pencabutan tanpa perlu membuat ulang kunci untuk Boot Aman dan tanpa membuat tanda tangan baru.
- Menambahkan dukungan untuk format enkripsi disk LUKS2, yang berbeda dari LUKS1 dalam sistem manajemen kunci yang disederhanakan, kemampuan untuk menggunakan sektor besar (4096 bukannya 512, mengurangi beban selama dekripsi), penggunaan pengidentifikasi partisi simbolis dan sarana pencadangan. metadata dengan kemampuan untuk memulihkannya secara otomatis dari salinan jika terdeteksi kerusakan.
- Dukungan untuk celah MBR pendek telah dihentikan (area antara MBR dan awal partisi disk; di GRUB digunakan untuk menyimpan bagian bootloader yang tidak sesuai dengan sektor MBR).
- Menambahkan dukungan untuk XSM (Xen Security Modules), yang memungkinkan Anda untuk menentukan batasan dan izin tambahan untuk hypervisor Xen, mesin virtual dan sumber daya terkait.
- Mekanisme penguncian yang mirip dengan serangkaian pembatasan yang sama di kernel telah diimplementasikan. LinuxPenguncian (lockdown) memblokir kemungkinan upaya melewati UEFI Secure Boot, seperti menonaktifkan akses ke beberapa antarmuka ACPI dan register MSR CPU, membatasi penggunaan DMA untuk perangkat PCI, memblokir impor kode ACPI dari variabel EFI, dan mencegah manipulasi port I/O.
- Secara default, utilitas os-prober, yang menemukan partisi boot sistem operasi lain dan menambahkannya ke menu boot, dinonaktifkan.
- Patch yang disiapkan oleh berbagai distribusi telah di-backport. Linux.
- Kerentanan BootHole dan BootHole2 telah diperbaiki.
- Menerapkan kemampuan membangun menggunakan GCC 10 dan Clang 10.
Sumber: opennet.ru
