CleanPress

GRUB 2.06 endlich mit LUKS2-Unterstützung

Verfasst von

sla

in

Der Release-Plan der Entwickler des Bootmanagers GRUB aka Grand Unified Bootloader sieht jährliche Veröffentlichungen vor. Somit stand GRUB 2.06 für 2020 an und der Plan war, das Update bis zur Jahresmitte zu veröffentlichen. Mit rund einem Jahr Verspätung wurde GRUB 2.0.6 nach einem RC im März aber erst jetzt freigegeben.

Aus Gründen…

Der hauptsächliche Grund für die Verspätung sind die Patches für die Sicherheitslücken BootHole/BootHole2, die bisher nicht in einer stabilen GRUB-Version enthalten waren. Das hatte zur Folge, dass Entwickler die Patches auch auf ältere, nicht mehr unterstützte Versionen von GRUB angewandt haben, was zu schwerwiegenden Problemen führen konnte.

Acht weitere Lücken

Weiter zur Verspätung beigetragen haben acht Sicherheitslücken, die in der Folge von Boothole im März 2021 entdeckt wurden. Die als GRUB2 Secure Boot Bypass 2021 bezeichneten Lücken waren in der Lage, UEFI Secure Boot auszuhebeln. Um kompromittierte Komponenten zeitnah per UEFI Revocation sperren zu können, wurde von Microsoft und der Linux Community das UEFI Secure Boot Advanced Targeting-Modell (SBAT) entwickelt, dass nun in GRUB 2.0.6 integriert ist. Die ursprünglichen Boothole-Patches ebenso integriert wie die überfällige Unterstützung für GCC 10 und Clang/LLVM 10.

LUKS2-Volumes unterstützt

Was die neuen Entwicklungen für GRUB 2.0.6 betrifft, so sticht die Unterstützung für verschlüsselte LUKS2-Volumes heraus. Des Weiteren wurde Unterstützung für die Xen-Sicherheitsmodule XSM und FLASK eingebaut sowie ein Backup/Restore-Tool. Die externe Anwendung os-prober, die dazu dient andere auf demselben Rechner installierte Betriebssysteme zu erkennen und entsprechende Menüeinträge für diese zu erzeugen, ist mit GRUB 2.0.6 aus Sicherheitsgründen deaktiviert, da die automatische und stille Ausführung einen Angriffsvektor darstellt. Der Quellcode von Grub 2.06 ist auf der Projekt-Website verfügbar, wo auch die Dokumentation zu GRUB 2.0.6 zu finden ist.

Kommentare

21 Antworten zu „GRUB 2.06 endlich mit LUKS2-Unterstützung“

  1. Avatar von Charon
    Charon

    Gibt es das auch für mein Franken Debian?

    Antworten
    1. Avatar von kamome
      kamome

      Die Antwort ist nur ein apt policy entfernt, oder?

      Antworten
  2. Avatar von DerEremit
    DerEremit

    Wenn os-prober deaktiviert ist weil Sicherheitsrisiko, heißt das bei Multiboot ein Konfig Datei
    selbst erstellen ? Oder os-prober aktivieren mit Sicherheitsrisko? Oder bastelt jede Distro sich eine Lösung. Bin aus der Doku nicht so richtig schlau geworden.

    Antworten
    1. Avatar von Ferdinand
      Ferdinand

      Es geht nach meinem Verständnis eher darum, dass os-prober nicht automatisch und still ausgeführt wird, ohne dass der Anwender das mitbekommt und somit die erstellte Datei auch nicht überprüft.

      Antworten
    2. Avatar von Klaus
      Klaus

      Hallo,

      aus der Doku zu Grub 2.0.6:

      ‘GRUB_DISABLE_OS_PROBER’
      The grub-mkconfig has a feature to use the external os-prober program to discover other operating systems installed on the same machine and generate appropriate menu entries for them. It is disabled by default since automatic and silent execution of os-prober, and creating boot entries based on that data, is a potential attack vector. Set this option to ‘false’ to enable this feature in the grub-mkconfig command.

      Grüße
      Klaus.

      Antworten
  3. Avatar von Nick
    Nick

    Ich dachte gestern ich hätte das nur geträumt. Doch in der Tat Grub2 ist endlich da. Funktioniert nun endlich die direkte Einbindung eines verschlüsselten /boot, oder erfordert das immer noch eine lästige Konfiguration nach der Installation? Das sollte mittlerweile korrekt erkannt werden, angesichts dessen wie lange das schon bemängelt wird. Darüber hinaus wurde es echt Zeit, dass nach unzähligen Jahren endlich LUKS2 unterstützt wird, nachdem das im Cryptsetup schon lange Standard ist, und einem verschlüsselten /boot umständlich im Wege stand. Allerdings wird es das Upgrade wohl nicht mehr in Debian 11 schaffen, obwohl es bitter notwendig wäre nicht noch weitere 5 Jahre mit Grub 2.04 herum zu gammeln.

    Antworten
    1. Avatar von Ferdinand
      Ferdinand

      Ich vermute mal, das wird’s als Backport geben.

      Antworten
    2. Avatar von termy
      termy

      Verschlüsseltes /boot ohne die abartig langen Unlock-Zeiten wäre schon was feines, würde mich auch interessieren ob das jetzt in Reichweite ist?

      Antworten
  4. Avatar von Klaus Behringer
    Klaus Behringer

    Gibt es das auch für mein Franken Debian?

    Es wäre interessant, was genau Franken Debian in deinen Einsatzszenario bedeutet?

    Antworten
    1. Avatar von Charon
      Charon

      Ubuntu 20.04.2! Für mich ein sehr zuverlässiges Betriebssystem, dennoch konnte ich mir hier in der Vergangenheit oft anhören, das Franken Debian schlecht sei. Die Community hier ist toxisch. Gibt weitaus bessere, was ich sehr schade finde!

      Antworten
      1. Avatar von Ferdinand
        Ferdinand

        Glaubst Du, je öfter Du ‚toxische Community‘ wiederholst, desto eher wird es auch wahr?

        Antworten
      2. Avatar von Klaus Behringer
        Klaus Behringer

        Weil in Kommentaren nicht deine Überzeugung geteilt wird, sind die Kommentarschreiber bzw. die Plattform also toxisch?
        Willkommen in der pluralen Gesellschaft mit Meinungsvielfalt.

        Nebenbei hast du weder Debian verstanden, noch was mit FrankenDebian gemeint ist.

        Antworten
        1. Avatar von Charon
          Charon

          Hat nicht viel mit Meinungsfreiheit zu tun, wenn ich als Gnu/Linux Neuling mich hier anmelde und direkt blöd angemacht werde! Aber so ist die Linux Welt wohl!!

          Antworten
          1. Avatar von Klaus Behringer
            Klaus Behringer

            Nimm es einfach hin, dass nicht jeder Mensch deine Meinung teilt, oder Ubuntu/Canonical gut findet und dir widerspricht.

            Vorraussichtlich bereue ich diesen Kommentar nach dem Schlafen wieder, weil du deinen Opfermythen pflegen konntest.

          2. Avatar von Charon
            Charon

            Sehe mich nicht als Opfer sondern bin nur schockiert das für ein Betriebssystem Grabenkriege geführt werden! Es ist ein Computer inkl. einer Software. Was ist denn los^^

          3. Avatar von Klaus Behringer
            Klaus Behringer

            Sehe mich nicht als Opfer

            Dann hör‘ doch bitte auf zu heulen!

          4. Avatar von juchtel
            juchtel

            Naja, wenn Du doch ein Neuling wärst, dann solltest Du doch erstmal den Ball flach halten und nicht von Dingen reden, worüber Du ( als Neuling) nichts weist!
            Du wirkst halt unglaubwürdig und eher als ein Troll; wenn jedes 3te Wort „Franken Debian“ ist

          5. Avatar von Uxx
            Uxx

            Nein, so ist nicht die Linux-Welt, sondern so ist die Welt. Communities sind überall „toxisch“. Es gibt nunmal leider mehr *rschl*cher als Köpfe auf der Welt.
            Mit zunehmenden Alter reift diese Erkenntnis 😉

      3. Avatar von tuxnix
        tuxnix

        https://wiki.debian.org/DontBreakDebian#Don.27t_make_a_FrankenDebian

        Antworten
      4. Avatar von Reindl Harald
        Reindl Harald

        Kinder das Frankendebian ist Mint weil es lustig Dummbuntu und Debian mischt

        Antworten
  5. Avatar von tuxnix
    tuxnix

    Gibt es für laufende Systeme für den User denn irgend etwas zu beachten?

    Ich denke, dass os-prober jetzt aktuell, deshalb nicht mehr automatisch bei einem grub update ausgeführt wird, hat den Grund, dass man erst sicher stellen möchte, dass os-prober auch mit dem veränderten grub noch einwandfrei arbeitet und keine bestehende Konfiguration eigenständig abändert.

    Die wichtigsten Änderungen ergeben sich doch wohl erst mit der Auslieferung neuer Installationsmedien. Wenn ich mich nicht irre (Karl May).

    Antworten

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Weitere Beiträge