Linux 启动漏洞可绕过现代 Linux 系统的安全启动保护

现代Linux发行版存在一个重大漏洞 ，启启动攻击者通过短暂物理接触即可利用initramfs（初始内存文件系统）操控绕过安全启动（Secure Boot）保护机制。动漏洞

该攻击利用系统启动失败时可访问的绕过调试shell
，注入持久性恶意软件，现代x系这些恶意软件可在系统重启后继续存活 ，安全即使用户输入了加密分区的保护正确密码仍能维持访问权限 。

核心要点攻击者通过物理接触可利用initramfs在启动失败时的源码下载启启动调试shell绕过安全启动保护多次输入错误密码会触发调试访问
，允许向未签名的动漏洞initramfs组件注入持久性恶意软件Ubuntu 25.04、Debian 12、绕过Fedora 42和AlmaLinux 10存在漏洞；OpenSUSE Tumbleweed不受影响添加内核参数可禁用调试shell（Ubuntu系统使用panic=0
，现代x系Red Hat系使用rd.shell=0 rd.emergency=halt）Linux initramfs漏洞分析

据Alexander Moch指出，安全该漏洞的保护核心在于初始内存文件系统（initramfs）——这是免费模板Linux启动过程中用于解密根分区的关键组件。

与内核镜像和模块不同 ，启启动initramfs本身通常未经签名
，动漏洞在安全链中形成了可被利用的绕过缺口
。当用户多次输入加密根分区的错误密码后
，服务器租用多数发行版会在超时后自动进入调试shell。

攻击者可通过该调试shell挂载包含专用工具和脚本的外部USB驱动器 。攻击流程包括 ：使用unmkinitramfs命令解包initramfs
，将恶意钩子注入scripts/local-bottom/目录 ，然后重新打包修改后的initramfs 。

Moch研究中展示的香港云服务器关键脚本如下 ：

该恶意钩子会在根分区解密后执行，将文件系统重新挂载为可写状态并建立持久性访问。由于攻击遵循常规启动流程且未修改已签名的内核组件 ，因此能规避传统防护机制 。

各发行版受影响情况

多发行版测试显示不同程度的易受攻击性 ：

Ubuntu 25.04仅需三次错误密码尝试即可获得调试shell访问Debian 12可通过长按RETURN键约一分钟触发Fedora 42和AlmaLinux 10的默认initramfs缺少usb_storage内核模块 ，云计算但攻击者可通过Ctrl+Alt+Delete触发重启并选择救援条目绕过限制

值得注意的是，OpenSUSE Tumbleweed因其默认启动分区加密实现方式而对此攻击免疫。安全专家将该漏洞归类为"邪恶女仆"攻击场景，需要短暂物理接触目标系统 。

缓解措施

有效防护方案包括 ：

(1) 修改内核命令行参数：

Ubuntu系添加panic=0Red Hat系添加rd.shell=0 rd.emergency=halt 这些参数强制系统在启动失败时直接停止而非提供调试shell

(2) 其他防护措施：

配置引导加载程序密码要求启用SSD原生加密对启动分区实施LUKS加密

(3) 高级解决方案：

统一内核镜像（UKI） ：将内核与initramfs合并为单一签名二进制文件可信平台模块（TPM）：将initramfs完整性度量值存入平台配置寄存器（PCR）