Ubuntu 25.10 Questing Quokka вже доступний, що є фінальним проміжним релізом перед Ubuntu 26.04 LTS. Це сміливий крок. Проміжні релізи завжди були випробувальними майданчиками для функцій, які визначають наступний LTS, і цей цикл не є винятком. Від безпечних з точки зору пам’яті повторних реалізацій основних інструментів до апаратного шифрування, підготовленості до пост-квантової криптографії та конфіденційних обчислень — 25.10 відкриває нову еру безпеки Ubuntu, прокладаючи шлях до більш безпечного комп’ютерного майбутнього на наступне десятиліття.

Безпека пам’яті в центрі уваги

Ubuntu 25.10 за замовчуванням використовує sudo-rs, реалізацію sudo на Rust. Ця зміна безпосередньо вирішує проблему корупції пам’яті у безпечному коді. Уразливість sudo CVE-2021-3156, яка залишалася непоміченою з 2011 по 2021 рік, підтверджує важливість цих зусиль: гарантії безпеки пам’яті на рівні компілятора запобігають цілій категорії таких помилок.

Аналогічно, ми тепер постачаємо rust-coreutils як основного постачальника утиліт, таких як ls, cat і cp. Реалізації GNU залишаються доступними, і користувачі можуть переключатися між ними за необхідності. Ми підтримуємо таблицю сумісності, що документує відмінності в поведінці, хоча більшість користувачів не стикаються з жодними проблемами. Продуктивність варіюється в залежності від операції, кодування base64 помітно швидше, тоді як деякі операції показують мінімальні зміни.

Для користувачів, яким потрібно традиційне sudo, воно доступне як sudo.ws. Існуючі конфігурації sudo працюють без змін. Ця паралельна доступність дозволяє всебічне тестування, зберігаючи шлях до резерву.

Шифрування всього диска на основі TPM стає реальністю

Реалізація повного шифрування диска на основі TPM в цьому релізі значно вдосконалилася, хоча залишається експериментальною. Нові можливості включають:

• Підтримка паролів з належними інтерфейсами управління
• Відновлення ключів для покращеного управління ключами
• Краще інтеграція з оновленнями прошивки для запобігання проблем з завантаженням

Є важливі міркування сумісності. Ця функція несумісна з програмним забезпеченням безпеки Absolute (раніше Computrace); системи повинні вибрати одну з опцій. Крім того, певні апаратні конфігурації вимагають специфічних модулів ядра, які можуть не бути доступними в ядрі з підтримкою TPM. Користувачі повинні ретельно тестувати з їх конкретним апаратним забезпеченням перед розгортанням.

Ця робота орієнтована на готовність до виробництва в Ubuntu 26.04 LTS. Тестування та відгуки під час циклу 25.10 безпосередньо вплине на реалізацію LTS.

Безпека часу в мережі за замовчуванням

Ubuntu 25.10 замінює systemd-timesyncd на Chrony як основний демон часу, налаштований з увімкненою безпекою часу в мережі (NTS). Ця зміна адресує давню проблему безпеки: неавтентифікований NTP був вразливий до підробок, які могли вплинути на валідацію сертифікатів, журнали аудиту та координацію розподілених систем.

Підготовка до квантового апокаліпсису

Ubuntu 25.10 включає підготовку до загроз квантових обчислень завдяки останнім версіям для OpenSSH і OpenSSL. OpenSSH 10.0 тепер використовує гібридні пост-квантові алгоритми за замовчуванням для узгодження ключів. Ніяка конфігурація не потрібна, з’єднання SSH автоматично отримують вигоду від квантового захисту, зберігаючи при цьому сумісність з системами, які не підтримують ці алгоритми.

Intel TDX та конфіденційні обчислення

Для тих, хто запускає чутливі робочі навантаження в хмарі, Ubuntu 25.10 постачається з рідною підтримкою можливостей хостів Intel TDX (Trust Domain Extensions). Ця технологія створює ізольовані віртуальні машини на апаратному рівні для конфіденційних обчислень, що ідеально підходить для чистих кімнат даних та конфіденційних AI-робочих навантажень. Ядро постачається з підтримкою Intel TDX без додаткових налаштувань, що готує ґрунт для того, щоб конфіденційні обчислення стали основними в 26.04 LTS.

Безпека через модернізацію

Крім основних функцій, існує послідовна тема безпеки через модернізацію:

• Django оновлено до 5.2 LTS з покращеними стандартами безпеки
• Systemd v257.9 з покращеними функціями безпеки
• Apache 2.4.64 з кількома виправленнями безпеки
• Весь інструментарій побудовано з GCC 15.2, що забезпечує кращі перевірки безпеки під час компіляції

На що звернути увагу

Деякі функції безпеки вимагатимуть обережного розгортання:

• Профілі AppArmor можуть несподівано вплинути на операції в контейнерах LXD
• TPM-підкріплене FDE має специфічні апаратні вимоги
• Перехід на OpenSSH 10.0 знімає підтримку DSA, що може вплинути на застарілі системи

Майбутнє

У підсумку, покращення безпеки та заходи по зміцненню, представлені в Ubuntu 25.10, продовжують еволюцію Ubuntu до забезпечення найбезпечнішого досвіду Linux. Вони прокладають шлях для Ubuntu 26.04 LTS, наступного релізу з тривалою підтримкою, де ці технології стануть основними, повністю підтримуваними можливостями. Крім того, оновлення безпеки, дотримання вимог, зміцнення та livepatching ядра для 26.04 LTS будуть покриватися протягом 12 років через Ubuntu Pro, що продовжує історію Ubuntu як безпечного фундаменту для розробки та розгортання сучасних Linux-робочих навантажень.

Ми постійно вдосконалюємо досвід безпеки Ubuntu, і ваші відгуки важливі. Щоб поділитися відгуками або приєднатися до дискусії, відвідайте сторінку Ubuntu Discourse. Якщо ви хочете обговорити ваші потреби у розгортанні, будь ласка, зв’яжіться з нами через цей контактний формуляр.

Залишайтеся в безпеці та удачі з оновленнями.