Релиз загрузочного менеджера GNU GRUB 2.14

15.01.2026 10:43

После двух лет разработки представлен стабильный релиз модульного многоплатформенного менеджера загрузки GNU GRUB 2.14 (GRand Unified Bootloader). GRUB поддерживает широкий спектр платформ, включая обычные ПК с BIOS, платформы IEEE-1275 (оборудование на базе PowerPC/Sparc64), EFI-системы, системы с процессорами RISC-V, Loongson, Itanium, ARM, ARM64, LoongArch и ARCS (SGI), устройства, использующие свободный пакет CoreBoot. Код проекта написан на языке Си и распространяется под лицензией GPLv3.

Основные новшества:

Добавлена поддержка контроля целостности данных в логических томах LVM (LVM LV), реализуемая при помощи dm-integrity.
Добавлена поддержка конфигураций, использующих LVM cachevol для ускорения доступа к медленным дискам за счёт кэширования данных на быстрых накопителях.
Добавлена поддержка файловой системы EROFS (Extendable Read-Only File System), разработанной компанией Huawei для использования на разделах, доступных в режиме только для чтения. Структура EROFS существенно упрощена за счёт отбрасывания при реализации некоторых областей метаданных, таких как битовая карта свободных блоков. EROFS поддерживает хранение данных в сжатом виде, но использует иной подход для хранения сжатых блоков, оптимизированный для достижения высокой производительности при случайном доступе к данным.
Добавлена возможность размещения блока с переменными окружения GRUB в зарезервированную область заголовка файловой системы Btrfs. В подобных переменных могут сохраняться данные об используемом по умолчанию загрузочном разделе.
Добавлена поддержка запуска EFI-образов GRUB в режиме защиты NX (No Execute), запрещающем исполнение инструкций в областях памяти, специально не помеченных, как допустимые для исполнения.
Добавлена поддержка протокола Shim loader, используемого для верифицированной загрузки shim-прослойки для загрузки в режиме UEFI Secure Boot.
Добавлена поддержка загрузки унифицированных образов ядра UKI (Unified Kernel Image), объединяющих обработчик для загрузки ядра из UEFI (UEFI boot stub), образ ядра Linux и загружаемое в память системное окружение initrd, применяемое для начальной инициализации на стадии до монтирования корневой ФС. UKI-образ оформляется в виде одного исполняемого файла в формате PE, который может быть загружен при помощи традиционных загрузчиков или напрямую вызван из прошивки UEFI.
Добавлена поддержка универсальной конфигурации загрузчика в формате BLS (Boot Loader Specification), для разбора которой реализована команда blscfg.
Добавлена поддержка схемы хэширования паролей Argon2.
Добавлена поддержка механизма "TPM2 key protector" для автоматической разблокировки зашифрованного раздела при загрузке, благодаря хранению информации для расшифровки ключей в TPM (Trusted Platform Module).
Добавлена поддержка прикрепляемой цифровой подписи (Appended Signature, применяется для прикрепления подписи к модулям ядра Linux без изменения самого файла) при верификации загрузки в режиме Secure Boot на системах PowerPC.
Реализована опция "--disable-cli" для блокировки интерфейса командной строки GRUB и запрета редактирования элементов меню.
Добавлена поддержка дат, не попадающих в диапазон 1901-2038.
Добавлена поддержка распаковки данных, сжатых при помощи алгоритма ZSTD.
Осуществлён переход на использование новой ветки криптографической библиотеки Libgcrypt 1.11.0 (ранее использовался выпуск libgcrypt 1.5.3, сформированный в 2013 году).
Устранены накопившиеся уязвимости (1, 2).

исправить +11 +/–

Лицензия: CC BY 3.0

Короткая ссылка: https://opennet.ru/64615-grub

Ключевые слова: grub, boot

При перепечатке указание ссылки на opennet.ru обязательно

Обсуждение (33)

1.3, Аноним (3), 11:32, 15/01/2026 [ответить] [﹢﹢﹢] [ · · · ]	+/–
Ура! Раньше приходилось собирать из гита, чтобы без костылей грузить системы с рутом на luks+lvm+btrfs. Надеюсь, дистрибутивы не будут тянуть с переходом на новую версию.

2.6, УткаНоНеДональд (?), 11:46, 15/01/2026 [^] [^^] [^^^] [ответить]	+3 +/–
А можете по подробнее рассказать зачем на BTRFS LVM ? Как это работает ???

3.12, Аноним (-), 12:04, 15/01/2026 [^] [^^] [^^^] [ответить]

+3 +/–

> зачем на BTRFS LVM ?

Чтобы ты мог делать снапшоты делая снапшоты 😎

> Как это работает ???

А кто сказал что это работает!

2.17, Аноним (17), 12:13, 15/01/2026 [^] [^^] [^^^] [ответить]	+1 +/–
Здорово, что для luks теперь не нужно будет менять хеш на pbkdf с аргона. Но не понятно ради каких других плюшек нужно было собирать с сорсов? Просвяти, пожалуйста

3.35, Аноним (35), 14:02, 15/01/2026 [^] [^^] [^^^] [ответить]	+/–
Linux это source based операционная система, здесь это нормальный способ устанавливать программы: ./configure && make && make install

1.4, Аноним (4), 11:33, 15/01/2026 [ответить] [﹢﹢﹢] [ · · · ]	–3 +/–
С одной стороны хоть какое-то развитие - uki, tpm, argon2. С другой зачем дистрибутивы продолжают тянуть это динозавра, когда есть systemd-boot?

2.14, Аноним (14), 12:05, 15/01/2026 [^] [^^] [^^^] [ответить]	+/–
"Can only launch binaries from the ESP it is installed to or from the Extended Boot Loader Partition (XBOOTLDR partition) on the same disk." Мне не нужно, чтобы в моём EFI разделе были гигабайты мусора, хватит и 100 МБ размера, всё. А все ядра, иниты и прочее должно быть на разделе с системой

3.16, User (??), 12:11, 15/01/2026 [^] [^^] [^^^] [ответить]	+/–
Главное - вот шифт семь раз подряд не давай нажимать. Можно даже выковырять для надежности...

3.18, Аноним (18), 12:24, 15/01/2026 [^] [^^] [^^^] [ответить]	+/–
Как-то странно, NetBSDшный загрузчик, который режит в EFI-разделе, умеет откуда угодно загружать ядро.

4.34, Аноним (34), 14:01, 15/01/2026 [^] [^^] [^^^] [ответить]	+/–
ты главное остальной софт с заглушками от системды не сравнивай

2.26, penetrator (?), 13:03, 15/01/2026 [^] [^^] [^^^] [ответить]	+/–
загрузку ядра с шифрованного раздела /boot оно не умеет, все должно лежать в открытом EFI

3.28, Аноним (28), 13:08, 15/01/2026 [^] [^^] [^^^] [ответить]	–1 +/–
Secure Boot с собственными ключами и UKI решает эту проблему.

1.5, Аноним (5), 11:36, 15/01/2026 [ответить] [﹢﹢﹢] [ · · · ]	+/–
>Реализована опция "--disable-cli" для блокировки интерфейса командной строки GRUB и запрета редактирования элементов меню. Почему опция по блокировке редактирования меню называется disable cli?

2.13, _kp (ok), 12:04, 15/01/2026 [^] [^^] [^^^] [ответить]	+/–
cli = Command Line Interface Видимо сперва запретили только cli, а потом агония запретов понеслась, и запретили и меню, но отдельную команду делать не стали

1.7, Аноним (7), 11:49, 15/01/2026 [ответить] [﹢﹢﹢] [ · · · ]	+/–
Самый функциональный загрузчик и ни одной строчки Rust.

2.10, Аноним (10), 12:01, 15/01/2026 [^] [^^] [^^^] [ответить]	+/–
Уже почти есть https://www.opennet.dev/62945-rust

3.19, Аноним (19), 12:27, 15/01/2026 Скрыто ботом-модератором [к модератору]	+1 +/–

2.11, Аноним (-), 12:02, 15/01/2026 [^] [^^] [^^^] [ответить]

+1 +/–

> Самый функциональный загрузчик и ни одной строчки Rust.

Угу.

Скорее всего это как-то связано с ссылками из новости :)
- 6 уязвимостей в загрузчике GRUB2 (opennet.ru/opennews/art.shtml?num=64298)
  запись за пределы выделенного буфера, use-after-free
- в загрузчике GRUB2 выявлена 21 уязвимость (opennet.ru/opennews/art.shtml?num=62771)
  запись за границу буфера, переполнения буфера, целочисленные переполнения, доступ по
  нулевому указателю, обращение к памяти после её освобождения

3.21, Аноним (19), 12:27, 15/01/2026 [^] [^^] [^^^] [ответить]	+/–
Зато всё работает и грузится.

4.23, Аноним (-), 12:30, 15/01/2026 [^] [^^] [^^^] [ответить]	+/–
> Зато всё работает и грузится Грузится не только для тебя, но и для того чувака, который взял твой ноут без спроса. Чего только стоит обход пароля нажав 28 раз бекспейс.

5.31, Аноним (14), 13:40, 15/01/2026 [^] [^^] [^^^] [ответить]	+/–
Ставь пароль в bios при включении тогда

6.37, Аноним (37), 14:19, 15/01/2026 [^] [^^] [^^^] [ответить]	+/–
Отличный совет! Может еще комп примотать изолентой к батарее?

3.22, Аноним (22), 12:28, 15/01/2026 Скрыто ботом-модератором [к модератору]	+/–

1.9, Аноним (9), 11:53, 15/01/2026 [ответить] [﹢﹢﹢] [ · · · ]	–1 +/–
Большая часть изменений - в интересах копирастов.

2.33, Аноним (33), 13:58, 15/01/2026 [^] [^^] [^^^] [ответить]

+/–

Да ладно? На днях буквально консультировал пользователя, который таскает ноут в командировки и хотел бы зашифровать данные на случай кражи ноута и извлечении из него накопителя.

При этом, ноутом дома пользуются другие члены семьи, для которых создана отдельная учётка.

Пользователь не придумал ничего лучше, как вводить два пароля (чтобы расшифровать накопитель при загрузке и чтобы войти в систему). Тут-то я ему и подсказал, что можно настроить авторазблокировку с помощью TPM, что избавляет от нужды каждый раз вводить первый пароль. Естественно, все необходимые бэкапы у него сделаны, на случай, если проц или материнка сдохнут (но их и без шифрования нужно делать, ведь сдохнуть может сам накопитель).

1.15, Аноним (15), 12:09, 15/01/2026 [ответить] [﹢﹢﹢] [ · · · ]	+1 +/–
Простейшая задача начальной загрузки различных ОС в итоге превратилась в монструозное bloatware. Второе начало термодинамики (энтропия может только возрастать) в действии.

2.30, Аноним (30), 13:34, 15/01/2026 [^] [^^] [^^^] [ответить]

+1 +/–

>Простейшая

Никогда не была простой.
>превратилась

Достигла уровня дедовских TrueЪ ЪUNIXЪ реализаций со встроенным фортом.

1.20, anonymous (??), 12:27, 15/01/2026 [ответить] [﹢﹢﹢] [ · · · ]	+/–
до сих пор пользуюсь первым грубом и доволен как слон. никаких сложностей, простой конфиг - загрузка. а если что пошло не так можно перейти в консоль, поправить конфиг - загрузиться. а не так как во втором, где на каждых чих пересборка нужна.

1.24, jura12 (ok), 12:40, 15/01/2026 [ответить] [﹢﹢﹢] [ · · · ]	+/–
Макос он так и не может запускать?

1.25, Аноним (25), 12:47, 15/01/2026 [ответить] [﹢﹢﹢] [ · · · ]	+/–
>поддержка дат, не попадающих в диапазон 1901-2038 Джва года ждал... Ой, то есть, больше.

1.27, Джон Титор (ok), 13:05, 15/01/2026 [ответить] [﹢﹢﹢] [ · · · ]	+/–
>> Добавлена поддержка файловой системы EROFS (Extendable Read-Only File System), разработанной компанией Huawei для использования на разделах, доступных в режиме только для чтения. На сколько оно повышает производительность? Если на NVMe носителе создать такую ФС для статических данных веба - ощущу ли я улучшение производительности?

1.29, Джон Титор (ok), 13:13, 15/01/2026 [ответить] [﹢﹢﹢] [ · · · ]	+/–
>> Добавлена поддержка файловой системы EROFS (Extendable Read-Only File System), разработанной компанией Huawei для использования на разделах, доступных в режиме только для чтения. >> При сжатии используется метод, формирующий выходные блоки фиксированного размера (в существующих ФС разбивка на блоки фиксированного размера ведётся до сжатия, а после сжатия на выходе получаются блоки разного размера), что позволяет избавиться от траты ресурсов на чтение остаточного заполнения; >>В кластере может сохраняться один или несколько блоков со сжатыми данными. Хранимые данные размещаются в блоках фиксированного размера, но распаковываются в цепочки произвольной длины. > На сколько оно повышает производительность? Если на NVMe носителе создать такую ФС для статических данных веба - ощущу ли я улучшение производительности? Правильно ли я понимаю? Увеличение производительности может быть существенной только при наличии большого количества маленьких файлов? Т.е. в целом для статических данных веба оно не имеет существенного значения.

1.36, Аноним (35), 14:04, 15/01/2026 [ответить] [﹢﹢﹢] [ · · · ]	+/–
Я не смог последнюю версию в mbr поставить, образ слишком большой. Предыдущая поставилась.

игнорирование участников | лог модерирования

Добавить комментарий

Текст: