משתמשי לינוקס מתמודדים עם כאב ראש של Microsoft Secure Boot – הנה משכך הכאבים

עקוב אחר ZDNET: הוסף אותנו כמקור מועדף בגוגל.

נקודות המפתח של ZDNET

• ללינוקס יש בעיה חדשה באתחול מאובטח.
• אבל זה לא כל כך גרוע כמו שחלק מהאנשים חושבים.
• הנה מה שאתה יכול לעשות כדי לטפל בבעיה.

עוד בסוף שנות ה-2000, קושחת המחשב עברה מ-BIOS מדור קודם ל-UEFI Unified Extensible Firmware Interface (UEFI). לצדו הגיע Secure Boot. מנגנון אבטחה זה הנתמך על ידי מיקרוסופט תוכנן לעצור ערכות אתחול ותוכנות זדוניות ברמת הקושחה שאבטחת מערכת ההפעלה המסורתית לא יכלה לזהות בדרכה. אתחול מאובטח היה מבולגן, אבל הוא עשה את העבודה. עבור אנשים שמנסים להתקין ולהריץ לינוקס במחשבי Windows, ההגדרה הזו הייתה כאב אמיתי. הנה אנחנו כאן, 14 שנים אחרי שהאתחול המאובטח הופיע לראשונה במחשבי Windows 8, ויש לו שוב את הפוטנציאל לתת למשתמשי לינוקס כאב ראש אמיתי.

שוב, כמה אוהבי לינוקס נמצאים בפאניקה ש"מיקרוסופט נועלת את לינוקס בחוץ!" זה לא מה שקורה. כפי שמיקרוסופט ציינה, "לאישורי אתחול מאובטח תמיד היו תאריכי תפוגה."כן, כן, יש להם. חוץ מזה, כפי שראה אד בוט לאחרונה, למרות שזה לא כמעט מעצבן עבור משתמשי Windows, יש אנשים שעדיין עלולים להיתקל בבעיות עם תוקף תעודות אתחול מאובטח.

החדשות הטובות הן שהחשש הזה אינו אירוע יום הדין עבור לינוקס. המערכות הקיימות שלך לא יתעוררו בוקר אחד ומסרבות לאתחל רק בגלל שדייט התגלגל. אבל זה הוא רגע של אמת על האופן שבו עולם הלינוקס טיפל באתחול מאובטח במשך יותר מעשור, והזדמנות למשתמשים לקחת יותר שליטה, במקום לקוות בשקט שמיקרוסופט ויצרני OEM יחזיקו את האורות דולקים לנצח.

כמו כן: בדקתי שוב את האלטרנטיבה הטובה ביותר של MacOS בלינוקס – והיא אפילו מחקה את Liquid Glass כעת

בואו נעבור על מה שקורה בפועל, מדוע לינוקס מעורבת ומה עליכם לעשות לפני 2026 ואילך.

פשרה ישנה באה בשל

כדי להבין מדוע, עליך לחזור ל-2011 עד 2012, כאשר אתחול מאובטח של UEFI נחת לראשונה על מחשבי שוק המוני. מטרת העיצוב נשמעה סבירה: לעצור קוד לא מהימן מלפעול לִפנֵי מערכת ההפעלה על ידי קבלת קושחה לאמת חתימות של מטעני אתחול, גרעינים ו-ROMs אפשרויות.

אולם בפועל, מיקרוסופט הגדירה למעשה את שורשי האמון עבור כמעט כל מחשב צרכני. במקום ליצור — או לגרום למשתמשים ליצור — מפתחות ותעודות אתחול מאובטח, רוב ספקי החומרה שלחו מכונות עם קבוצה של מפתחות ואישורים משובצים בקושחה. רוב המפתחות והתעודות הללו היו "Microsoft 3rd-party UEFI CA" שיכולים לחתום על עומסי אתחול של צד שלישי. להפצות שרצו "פשוט לאתחל" במערכות אלו מבלי לבקש ממשתמשים להעיף מתגי קושחה לא ברורים היו בעצם שתי אפשרויות:

• משלוח הוראות למשתמשים להשבית את האתחול המאובטח.
• לחלופין, שחק יחד וקבל מאתר אתחול זעיר בשלב הראשון (shim) חתום על ידי UEFI CA של מיקרוסופט.

רוב ההפצות הגדולות של לינוקס בחרו ב-shim. מתיו גארט, מתכנת לינוקס ידוע, יצר את גישת ה-shim, והיא עדיין בשימוש היום.

גישה זו הייתה פשרה פרגמטית: מיקרוסופט מאמתת את ה-shim, ה-shim מאמתת את שאר שרשרת האתחול של לינוקס, ומשתמשים לא צריכים לערוך ידנית מסדי נתונים של מפתחות UEFI או לכבות את תכונות האבטחה.

כמו כן: מערכת המשנה של Windows עבור לינוקס נותנת למפתחים סיבה משכנעת להישאר עם מיקרוסופט – הנה הסיבה

הפשרה הזו עבדה בצורה יוצאת דופן. במשך יותר מעשור, אתה יכול לקנות מחשב נייד אקראי, להפעיל את האתחול המאובטח ולאתחל את Fedora, Ubuntu, openSUSE, Debian, RHEL ואחרים, הכל הודות למפתח Microsoft המאוחסן בקושחה שלך ו-Shim בינארי חתום על ידי Microsoft במחיצת מערכת EFI שלך.

אבל לתעודות, בניגוד לפשרות, יש תאריכי תפוגה.

מה יפוג ב-2026?

שורש הדרמה של היום הוא שהאישורים של 2011 שמיקרוסופט השתמשה בהם כדי לחתום על רכיבי אתחול מאובטח מתקרבים לסוף תקופת התוקף הרשמית שלהם. כמה מתעודות Microsoft Secure Boot של עידן 2011 מגיעים לסוף חייהן בשנת 2026, בשני גלים עיקריים (אמצע השנה ומאוחר יותר בשנה).

כדי לטפל בבעיה זו, מיקרוסופט יצרה א חָדָשׁ סט של אישורי אתחול מאובטח בשנת 2023 והחל להפיץ אותם ליצרני OEM ופלטפורמות. עדכוני קושחה אמורים לעשות את העבודה השקטה: הוספת מפתחות חדשים, שמירה על הישנים לצורך תאימות, והבטחה שניתן לאמת רכיבי אתחול עתידיים.

כמו כן: מיקרוסופט ממשיכה בדחיפה הגדולה שלה ללינוקס ב-Build 2026

עבור חנויות של Windows בלבד, זוהי לרוב עבודת תיקון אוטומטית. עבור עולם לינוקס, זה סיפור אחר,

כשאנשים שומעים "תפוגה של אישור", הם נוטים לדמיין משהו כמו תעודת SSL: ברגע שעבר תאריך ה"notAfter", לקוחות מסרבים לדבר עם השרת. המודל המנטלי הזה גורם לשנת 2026 להישמע כמו קצה צוק: ה-24 ביוני מגיע, ופתאום ההפצה שלך לא מאתחלת.

אתחול מאובטח לא עובד ככה. אם הקושחה שלך כבר סומכת על 2011 Microsoft UEFI CA היום, היא כמעט בוודאות תמשיך לבטוח בה לאחר שהלוח יכנס לחלון התפוגה. התקנות קיימות של לינוקס, עם ה-shim ומעמיסי האתחול הקיימים שלהן, ימשיכו לאתחל כמו תמיד. שום דבר לא יבנה את עצמו בצורה קסומה בחצות.

הנה הבעיה

הצרה היא לא שלך לְהַצִיג מַגָף; זה שלך עָתִידִי מַגָף. אם הקושחה של המחשב הישן שלך לְעוֹלָם לֹא מקבל את המפתחות של 2023, ושאר העולם מתחיל בהנחה שהמפתחות האלה קיימים, אתה יכול בסופו של דבר להיתקע בלימבו מוזר. אמנם התקנת לינוקס הקיימת שלך עדיין תאתחל, אבל הפצה חדשה או מעודכנת לא תעשה זאת.

גַם: מיקרוסופט מפתיעה עם הפצת לינוקס בשרת הראשונה שלה: Azure Linux 4.0

יש לקוות שספק המחשב שלך ישלח קושחה עם המפתחות החדשים, הפצת לינוקס מעדכנת את ה-shims שלהם כדי להיות תואמת למפתחות החדשים, והכל מסתדר. אנחנו צריכים להיות כל כך ברי מזל.

הנה מה לעשות:

1. עדכן את הקושחה שלך

כל ספק גדול שלח עדכונים שבין היתר מוסיפים או מתקנים מפתחות אתחול מאובטח בתגובה לאישורי 2023 של מיקרוסופט ולתפוגה הקרובה. אינך צריך לדעת את מזהי המפתח המדויקים כדי להפיק תועלת; אתה צריך לוודא שהמערכת שלך תקבל את העדכונים האלה.

במכונת לינוקס טיפוסית, גישה זו פירושה בדיקת אתר התמיכה של הספק שלך עבור עדכוני BIOS/UEFI שפורסמו בשנה-שנתיים האחרונות. במערכות רבות, אתה יכול להשתמש בערימת עדכון הקושחה של לינוקס, fwupdלטפל בזה מתוך ההפצה שלך. כדי לבצע את הצעד הזה, הפעל את הפקודות הבאות בתור משתמש השורש:

• רענון fwupdmgr
• fwupdmgr קבל עדכונים
• עדכון fwupdmgr

אם החומרה שלך נתמכת, השלבים האלה ימשכו קפסולות קושחה ועדכוני UEFI db/dbx הכוללים את אישורי האתחול המאובטח של Microsoft החדשים. לאחר העדכון, תצטרך לאתחל פעם או פעמיים; הקושחה תעדכן את עצמה, וסיימת.

גַם: 5 המחשבים שולחניים הלינוקס המובילים שלי של 2026 (עד כה) – וניסיתי את כולם

במערכות ישנות מסוימות, ייתכן שעדיין תצטרך להוריד קובץ .exe או .iso מהספק ולעקוב אחר הריקוד שלהם. ההליך הזה מעצבן, אבל זו מטלה חד פעמית שמקנה לך שנים של התנהגות אתחול מאובטח חלק יותר.

2. בדוק כיצד ההפצה שלך מטפלת בתעודות

רוב הפצות הלינוקס המיינסטרים כבר שקלו את התפוגה של 2026 והגיעו למסקנה שזה לא מקרה חירום אלא משהו שצריך לטפל בו בזהירות.

הפצות רבות מיישרות את תהליכי החתימה והמבנה שלהן כדי להישאר תואמות לאורך כל המעבר. אם אתה בגרסה מודרנית של הפצת שמות גדולים והקושחה שלך מעודכנת, סיכוי גבוה ש"זה פשוט עובד" ימשיך להיות נכון.

עבורך, המבחן הפשוט ביותר הוא גם המעשי ביותר:

בצע את הבדיקה הזו פעם אחת עכשיו, כדי שתדע איך נראה הרגיל החדש. אם תמונה עתידית לא מצליחה לאתחל כאשר אתחול מאובטח מופעל, תוכל לדעת אם הרגרסיה היא בקושחה (מפתחות לא מעודכנים), בתמונת ההפצה או באינטראקציה מגעילה בין השניים.

גַם: אחרי 30 שנה עם לינוקס, נתתי ל-Windows 11 הזדמנות – ומצאתי 9 בעיות ברורות

רבות מההפצות הפופולריות ביותר של לינוקס כבר טיפלו בבעיית האתחול המאובטח. Red Hat פרסמה הנחיות ייעודיות בנושא אתחול מאובטח תפוגה ושומרת על ערימות RHEL/Fedora shim/bootloader החתומות ומתואמות למודל האמון של מיקרוסופט. משפחת אובונטו של Canonical שלחה זה מכבר תמיכה מלאה ב-Secure Boot. המתקנים והגרעינים הנוכחיים של אובונטו חתומים תחת ה-UEFI CA הקיים של צד שלישי של Microsoft.

גם SUSE ו-openSUSE מוכנות לעבוד עם ה-CA החדשים. תשתית האתחול המאובטח של דביאן הוא חשוב כי ה-shim שלו משמש בהפצות רבות ופותח על ידי צוות חוצה-דיסטרו. עם זאת, כמה הפצות לינוקס, כגון Arch וקרוביו, לא מקלים על התמיכה ב-Secure Boot.

הפתרון המפתה

אם אתה מסתובב בפורומים של לינוקס מספיק זמן, תראה את אותה עצה חוזרת בכל פעם שתופיע אתחול מאובטח: "אם זה עושה לך בעיות, פשוט השבת את האתחול המאובטח."

אני מבין את זה. עשיתי את זה בעצמי. אתחול מאובטח יש כאב מאז שהופיע לראשונה. עבור משתמשים רבים, הדרך הקלה ביותר הייתה לכבות אותו ולהעלים את הבעיה.

הסכנה היא כאשר הפריצה הזמנית הופכת לצמיתות. כאשר אתחול מאובטח מושבת, אתה מאבד את ההגנה על האתחול המאובטח מפני rootkits וכדומה. אמנם ערכות שורש "סקריפט-ילדי" פחות נפוצות מאשר היו לפני עשור, אבל ברמת המשתמש, הגרעין ואפילו היפר-וויזר המודרניים rootkits עדיין בשימוש פעיל מאוד על ידי נוכלים ותוקפים מתקדמים כאחד. Rootkits נותרו אחד מהסוגים המגעילים יותר של תוכנות זדוניות מכיוון שהם מתמקדים בהתגנבות והתמדה.

כמו כן: מהי לינוקס בלתי ניתנת לשינוי? הנה הסיבה שאתה מפעיל הפצת לינוקס בלתי ניתנת לשינוי

האם אתחול מאובטח הוא כדור כסף? לא. האם זה מחליף היגיינת מערכת טובה, תיקונים וגיבויים? ממש לא. אבל אתחול מאובטח הוא מגן משמעותי, והמערכת האקולוגית של לינוקס עבדה קשה כדי להפוך אותו לרוב בלתי נראה למשתמשים יומיומיים. לזרוק את האתחול המאובטח בגלל שזה כאב היום זו טעות.

הנה, באופן ספציפי, מה שאתה צריך לעשות לגבי האישורים שפג תוקפם.

עבור המחשבים האישיים שלך:

• עדכן קושחה: לפני אמצע 2026, התקן את עדכוני ה-BIOS/UEFI האחרונים מהספק שלך. אם fwupd תומך בחומרה שלך, השתמש בה. זה פחות כואב מלהטוט עם כלי Windows או עדכונים הניתנים לאתחול.
• אשר את האתחול המאובטח עדיין עובד: ודא את מגפי ההפצה הקיימים שלך בצורה נקייה כאשר אתחול מאובטח מופעל. לאחר מכן נסה תמונה חיה עדכנית מאותה הפצה. אם שניהם עובדים, אתה במצב טוב.
• שמור על אתחול מאובטח, אם אתה יכול: התייחס אליו כאל חלק רגיל מתנוחת האבטחה של המערכת שלך. אם משהו נכשל, בצע ניפוי באגים והשבת אותו באופן זמני לפי הצורך, אך אל תנטוש אותו בקלילות.

עבור השרתים שלך:

• מלאי מה שיש לך: שימו לב לאילו מכונות מופעל אתחול מאובטח ואיזו קושחה הם מריצים. אתה לא צריך מסד נתונים מפואר של ניהול תצורה (CMDB); גיליון אלקטרוני זה בסדר.
• תקן על קו בסיס קושחה: בחר גרסאות קושחה נוכחיות הכוללות את מפתחות האתחול המאובטח החדשים (ייתכן כי הערות השחרור של הספק שלך מזכירות זאת) וגלגל אותן ברחבי המעבדה שלך.
• בדוק תמונות חדשות מוקדם: לפני שתשדרג הכל למהדורת הפצה גדולה חדשה, בדוק את תוכנית ההתקנה ושרשרת האתחול של המהדורה הזו על מערכת מייצגת עם אתחול מאובטח מופעלת, תפוס הפתעות בצומת הקרבה.

אז בקיצור, למרות שהאתחול המאובטח הזה הוא כאב ראש, זה לא כל כך נורא. רק ודא שהקושחה שלך מעודכנת, וההפצה של לינוקס שלך מוכנה לטפל באישורים החדשים, והכל יהיה בסדר.