Korisnici Linuxa suočavaju se s glavoboljom Microsoft Secure Boot – evo lijeka protiv bolova

Pratite ZDNET: Dodajte nas kao željeni izvor na Googleu.

Ključni podaci ZDNET-a za van

• Linux ima novi problem Secure Boot.
• Ali nije ni približno tako loše kao što neki ljudi misle.
• Evo što možete učiniti da riješite problem.

Još u kasnim 2000-ima, računalni firmware prelazio je s naslijeđenog BIOS-a na UEFI Unified Extensible Firmware Interface (UEFI). Uz njega je došao Secure Boot. Ovaj sigurnosni mehanizam koji podržava Microsoft dizajniran je za zaustavljanje bootkitova i zlonamjernog softvera na razini firmvera koji tradicionalna sigurnost operativnog sustava nije mogla otkriti u svojim tragovima. Secure Boot je bio neuredan, ali je obavio posao. Za ljude koji pokušavaju instalirati i pokrenuti Linux na računalima sa sustavom Windows, ova instalacija je bila prava muka. Evo nas, 14 godina nakon što se Secure Boot prvi put pojavio na računalima sa sustavom Windows 8, i ponovno ima potencijal korisnicima Linuxa zadati pravu glavobolju.

Još jednom, neki ljubitelji Linuxa su u panici da “Microsoft zaključava Linux!” To se ne događa. Kao što je Microsoft istaknuo, “Certifikati Secure Boot uvijek su imali datume isteka.” Da, da, imaju. Osim toga, kao što je Ed Bott nedavno primijetio, iako to nije ni približno neugodno za korisnike Windowsa, neki ljudi i dalje mogu imati problema s istjecanjem Secure Boot certifikata.

Dobra vijest je da ova zabrinutost nije događaj sudnjeg dana za Linux. Vaši postojeći sustavi se neće jednog jutra probuditi i odbiti pokrenuti samo zato što je datum prošao. Ali to je trenutak istine o tome kako svijet Linuxa upravlja sigurnim pokretanjem više od desetljeća i prilika za korisnike da preuzmu veću kontrolu, umjesto da se potiho nadaju da će Microsoft i OEM-ovi zauvijek držati svjetla.

Također: ponovno sam testirao najbolju alternativu MacOS-a na Linuxu – i sada čak oponaša Liquid Glass

Prođimo kroz ono što se zapravo događa, zašto je Linux uključen i što biste trebali učiniti prije 2026. i kasnije.

Stari kompromis dolazi na naplatu

Da biste razumjeli zašto, morate se vratiti u 2011. do 2012., kada je UEFI Secure Boot prvi put stigao na masovna osobna računala. Cilj dizajna zvučao je razumno: zaustaviti pokretanje nepouzdanog koda prije operativni sustav tako što će firmware provjeriti potpise pokretačkih programa, kernela i opcijskih ROM-ova.

Međutim, u praksi je Microsoft učinkovito definirao korijene povjerenja za gotovo svako osobno računalo. Umjesto da stvaraju — ili da korisnici stvaraju — ključeve i certifikate za sigurno pokretanje, većina dobavljača hardvera isporučuje strojeve sa skupom ključeva i certifikata ugrađenih u firmware. Većina tih ključeva i certifikata bili su “Microsoft UEFI CA trećih strana” koji su mogli potpisati programe za pokretanje trećih strana. Distribucije koje su se htjele “samo pokrenuti” na tim sustavima bez traženja od korisnika da okrenu opskurne sklopke firmvera u osnovi su imale dvije mogućnosti:

• Pošalji upute za korisnike da onemoguće Secure Boot.
• Ili se igrajte i nabavite sićušni prvi stupanj pokretanja (shim) potpisan od strane Microsoftovog UEFI CA.

Većina glavnih distribucija Linuxa izabrala je shim. Matthew Garrett, poznati Linux programer, stvorio je shim pristup, a koristi se i danas.

Ovaj je pristup bio pragmatičan kompromis: Microsoft provjerava shim, shim provjerava ostatak lanca pokretanja Linuxa, a korisnici ne moraju ručno uređivati ​​baze podataka UEFI ključeva ili isključivati ​​sigurnosne značajke.

Također: Windows podsustav za Linux daje programerima uvjerljiv razlog da se drže Microsofta – evo zašto

Taj je kompromis izvanredno dobro funkcionirao. Više od desetljeća mogli ste kupiti nasumično prijenosno računalo, uključiti Secure Boot i pokrenuti Fedora, Ubuntu, openSUSE, Debian, RHEL i druge, a sve zahvaljujući Microsoftovom ključu pohranjenom u vašem firmware-u i Microsoftovom potpisanom binarnom podlošku na vašoj particiji sustava EFI.

Ali certifikati, za razliku od kompromisa, imaju rok trajanja.

Što ističe 2026.?

Korijen današnje drame je to što se certifikati iz 2011. koje Microsoft koristi za potpisivanje komponenti Secure Boot približavaju kraju svog formalnog razdoblja valjanosti. Nekoliko certifikata Microsoft Secure Boot iz ere iz 2011. završava život 2026., u dva glavna vala (sredinom godine i kasnije tijekom godine).

Kako bi riješio ovaj problem, Microsoft je stvorio novi set certifikata Secure Boot 2023. i počeo ih distribuirati OEM-ovima i platformama. Ažuriranja firmvera trebala bi tiho obaviti posao: dodati nove ključeve, zadržati stare radi kompatibilnosti i osigurati da buduće komponente za pokretanje mogu biti provjerene.

Također: Microsoft nastavlja sa svojim velikim pomakom na Linuxu na Build 2026

Za trgovine samo sa sustavom Windows ovo je uglavnom posao automatskog zakrpa. Za svijet Linuxa, to je druga priča,

Kad ljudi čuju “istek certifikata”, skloni su zamisliti nešto poput SSL certifikata: nakon što prođe datum “notAfter”, klijenti odbijaju razgovarati s poslužiteljem. Zbog tog mentalnog modela 2026. zvuči kao rub litice: stiže 24. lipnja i iznenada se vaša distribucija ne može pokrenuti.

Secure Boot ne radi na taj način. Ako vaš firmver već vjeruje 2011 Microsoft UEFI CA danas, gotovo sigurno će mu nastaviti vjerovati nakon što se kalendar prebaci u prozor isteka. Postojeće instalacije Linuxa, sa svojim postojećim podlošcima i programima za podizanje sustava, nastavit će se pokretati kao i uvijek. Ništa se u ponoć neće magično ugraditi.

Evo u čemu je problem

Problem nije tvoj predstaviti čizma; to je tvoje budućnost čizma. Ako firmware vašeg starijeg računala nikada dobije 2023 ključeve, a ostatak svijeta počne pretpostavljati da ti ključevi postoje, možete završiti zapeti u čudnom limbu. Iako će se vaša postojeća instalacija Linuxa i dalje pokrenuti, nova ili ažurirana distribucija neće.

Također: Microsoft iznenađuje svojom prvom poslužiteljskom distribucijom Linuxa: Azure Linux 4.0

Nadajmo se da će dobavljač vašeg osobnog računala isporučiti firmware s novim ključevima, da će distribucije Linuxa ažurirati svoje podloške da budu kompatibilne s novim ključevima i da će sve biti u redu. Trebali bismo biti tako sretni.

Evo što učiniti:

1. Ažurirajte svoj firmware

Svaki veći dobavljač isporučuje ažuriranja koja, između ostalog, dodaju ili prilagođavaju ključeve sigurnog pokretanja kao odgovor na Microsoftove certifikate 2023. i nadolazeći istek. Ne morate znati točan ID ključa da biste imali koristi; morate osigurati da vaš sustav prima ta ažuriranja.

Na tipičnom Linux stroju taj pristup znači provjeru web-mjesta za podršku vašeg dobavljača za ažuriranja BIOS-a/UEFI-ja objavljena u posljednjih godinu ili dvije. Na mnogim sustavima možete koristiti Linuxov snop ažuriranja firmvera, fwupdda to riješite iz svoje distribucije. Da biste poduzeli ovaj korak, pokrenite sljedeće naredbe kao root korisnik:

• fwupdmgr osvježi
• fwupdmgr dohvati ažuriranja
• fwupdmgr ažuriranje

Ako je vaš hardver podržan, ovi će koraci povući kapsule firmvera i ažuriranja UEFI db/dbx koja uključuju nove certifikate Microsoft Secure Boot. Nakon ažuriranja morat ćete ponovno pokrenuti sustav jednom ili dvaput; firmware će se sam ažurirati i gotovi ste.

Također: Mojih 5 najboljih Linux stolnih računala 2026. (do sada) – i sve sam ih isprobao

Na nekim starijim sustavima možda ćete ipak morati preuzeti .exe ili .iso od dobavljača i pratiti njihov ples. Ovaj postupak je neugodan, ali to je jednokratni posao koji vam daje godine glatkog ponašanja Secure Boot-a.

2. Provjerite kako vaša distribucija rukuje certifikatima

Većina mainstream distribucija Linuxa već je razmotrila istek 2026. i zaključila da to nije hitan slučaj, već nešto što treba pažljivo riješiti.

Mnoge distribucije usklađuju svoje shim buildove i procese potpisivanja kako bi ostale kompatibilne tijekom prijelaza. Ako koristite moderno izdanje poznate distribucije i vaš firmware je ažuran, velike su šanse da će “samo radi” i dalje vrijediti.

Za vas je najjednostavniji test i najpraktičniji:

Uradite ovaj test već jednom, kako biste znali kako izgleda nova normala. Ako se neka buduća slika ne uspije pokrenuti s omogućenim Secure Boot-om, moći ćete reći je li regresija u firmware-u (ključevi nisu ažurirani), slici distroa ili neugodnoj interakciji između to dvoje.

Također: Nakon 30 godina s Linuxom, dao sam priliku Windowsu 11 – i pronašao 9 jasnih problema

Mnoge od najpopularnijih Linux distribucija već su se pozabavile problemom Secure Boot. Red Hat je objavio posebne smjernice o sigurnom pokretanju isteka i održava hrpe RHEL/Fedora shim/bootloader koji su potpisani i usklađeni s Microsoftovim modelom povjerenja. Canonicalova Ubuntu obitelj odavno isporučuje potpunu podršku za Secure Boot. Ubuntuovi trenutni instalacijski programi i jezgre su potpisani pod postojećim Microsoftovim UEFI CA treće strane.

SUSE i openSUSE također su spremni za rad s novim CA-ovima. Debianova infrastruktura sigurnog pokretanja važan je jer njegovu podlogu koriste mnoge distribucije, a razvio ju je tim za različite distribucije. Međutim, neke Linux distribucije, kao što je Arch i njegovi rođaci ne olakšavaju podršku Secure Boot-a.

Primamljivo rješenje

Ako se dovoljno dugo motate po Linux forumima, vidjet ćete isti savjet koji se ponavlja kad god se pojavi Secure Boot: “Ako vam stvara probleme, jednostavno onemogućite Secure Boot.”

shvaćam. Učinio sam to sam. Sigurno pokretanje ima bila je bol otkako se prvi put pojavila. Za mnoge je korisnike najlakši način bio isključiti ga i učiniti da problem nestane.

Opasnost je kada privremeni hack postane trajan. Kada je Secure Boot onemogućen, gubite Secure Boot obranu od rootkita i slično. Dok su “script-kiddie” rootkitovi rjeđi nego što su bili prije deset godina, moderna razina korisnika, kernela, pa čak i razine hipervizora rootkiti su još uvijek u aktivnoj upotrebi od strane prevaranata i vrhunskih napadača. Rootkiti ostaju jedna od najopasnijih klasa zlonamjernog softvera jer su usredotočeni na prikrivenost i postojanost.

Također: Što je nepromjenjivi Linux? Evo zašto biste pokrenuli nepromjenjivu distribuciju Linuxa

Je li Secure Boot srebrni metak? Ne. Zamjenjuje li dobru higijenu sustava, zakrpe i sigurnosne kopije? Apsolutno ne. Ali Secure Boot je značajan štit, a Linux ekosustav je naporno radio kako bi ga učinio uglavnom nevidljivim svakodnevnim korisnicima. Pogreška je odbaciti Secure Boot jer je danas muka.

Ovdje je konkretno ono što trebate učiniti u vezi s istjecajućim certifikatima.

Za vaša računala:

• Ažurirajte firmver: Prije sredine 2026. instalirajte najnovija ažuriranja BIOS-a/UEFI-ja od svog dobavljača. Ako fwupd podržava vaš hardver, koristite ga. Manje je bolno od žongliranja Windows alatima ili programima za ažuriranje sustava za podizanje sustava.
• Potvrdite da Secure Boot i dalje radi: Provjerite pokreće li se vaša postojeća distribucija uredno s omogućenim Secure Boot. Zatim isprobajte trenutnu sliku uživo iz iste distribucije. Ako oba rade, u dobroj ste formi.
• Neka Secure Boot bude uključen, ako možete: Tretirajte to kao normalan dio sigurnosnog položaja vašeg sustava. Ako nešto ne uspije, otklonite pogreške i privremeno ga onemogućite po potrebi, ali nemojte to olako napustiti.

Za vaše poslužitelje:

• Popišite ono što imate: Zabilježite koji strojevi imaju omogućen Secure Boot i koji firmware pokreću. Ne trebate otmjenu bazu podataka za upravljanje konfiguracijom (CMDB); proračunska tablica je u redu.
• Standardizirajte se na bazi firmvera: Odaberite trenutne verzije firmvera koje uključuju nove ključeve sigurnog pokretanja (napomene o izdanju vašeg dobavljača to mogu spomenuti) i uvedite ih u svoj laboratorij.
• Rano testirajte nove slike: Prije nego što nadogradite sve na novo izdanje velike distribucije, testirajte instalacijski program tog izdanja i lanac pokretanja na reprezentativnom sustavu s uključenim Secure Boot, uhvatite iznenađenja na žrtvenom čvoru.

Dakle, ukratko, iako ovaj Secure Boot izaziva glavobolju, nije tako loš. Samo provjerite je li vaš firmware ažuran i je li vaš Linux distro spreman za rukovanje novim certifikatima i sve će biti u redu.