Hotdry.

Article

macOS 27 安全启动链更新破坏 Asahi Linux 引导:Apple Silicon 双系统兼容性分析

macOS 27 Golden Gate Beta 导致 Asahi Linux 分区在启动选择器中不可见。本文分析 Apple Silicon 安全启动链、SEP 固件验证与 m1n1 链式加载的兼容性工程问题。

2026-06-12systems

事件概述

2026 年 6 月初,Apple 发布 macOS 27 "Golden Gate" 首个 Beta 版本后,Asahi Linux 社区迅速发出警告:升级后 Linux 分区将从启动选择器中消失,用户无法正常引导至 Linux 系统。Asahi 团队已向 Apple 提交编号为 FB22994760 的漏洞报告,并建议依赖双系统启动的用户暂缓升级。

值得注意的是,用户数据并未丢失 ——Linux 分区仍然存在于磁盘上,只是启动选择器无法识别其存在。这表明问题出在启动卷检测逻辑,而非底层存储或安全启动链的加密验证环节。

Apple Silicon 启动架构回顾

要理解此次兼容性破坏的深层原因,需要先梳理 Apple Silicon Mac 的启动流程。与 x86 平台的 UEFI 不同,Apple Silicon 采用专有的多级引导架构:

SecureROM → iBoot1 → iBoot2 → OS Kernel

  • SecureROM:烧录在芯片中的只读代码,负责验证 iBoot1 的签名
  • iBoot1:从 NOR Flash 加载,初始化系统全局固件,显示 Apple Logo
  • iBoot2:从所选 OS 容器的 Preboot 卷加载,负责加载 OS 配对的固件和设备树
  • OS Kernel:首个可运行非 Apple 签名代码的节点

关键设计在于:每个安装的操作系统都携带完整的固件子集和独立的启动策略(Boot Policy)。启动策略由 SEP(Secure Enclave Processor)创建并用机器内部密钥签名,无法从外部篡改。这种设计允许同一台机器上的不同 OS 拥有独立的安全级别 —— 例如 macOS 保持完整安全,而 Linux 运行在 "许可安全"(Permissive Security)模式。

启动选择器的工作原理

启动选择器(Boot Picker)并非传统意义上的引导加载程序,而是一个运行在 recoveryOS 中的 macOS 应用程序。它扫描内部和外部存储卷,寻找符合特定布局的 APFS 容器:

  1. Preboot 卷:包含 iBoot2、Apple Device Tree、OS 内核
  2. Recovery 卷:配对的操作系统恢复镜像
  3. 根文件系统卷:操作系统数据和用户数据

对于 Asahi Linux,m1n1 引导加载器作为 "完全不受信任的操作系统"(fuOS)被安装到启动策略中。iBoot2 加载 m1n1 后,m1n1 再链式加载 Linux 内核。整个过程依赖启动选择器正确识别 fuOS 卷的 Preboot 结构。

macOS 27 的破坏性变更

根据社区分析,macOS 27 Beta 修改了启动选择器检测有效操作系统启动卷的逻辑。具体表现为:

  • Asahi Linux 的 Preboot 结构不再被识别为有效启动目标
  • 启动选择器界面中 Linux 选项完全消失
  • 按住电源键进入的启动菜单同样无法显示 Linux

推测 Apple 可能收紧了对启动卷签名状态的验证,或改变了 APFS 容器扫描的匹配规则。由于 m1n1 作为第三方内核不符合 Apple 签名要求,其启动卷可能被新逻辑错误地归类为 "不可启动"。

SEP 固件在此次事件中扮演的角色相对有限 —— 它主要负责启动策略的创建和修改授权,而非运行时卷检测。问题更可能出在启动选择器应用层面对卷元数据的解析逻辑。

技术影响与应对策略

对于已升级的用户,目前可采取的缓解措施包括:

  1. 回退至 macOS 26:通过 DFU 模式恢复固件,重新获得 Linux 启动能力
  2. 等待修复:Apple 可能在后续 Beta 中修正启动卷检测逻辑
  3. 外部启动方案:理论上可通过 USB 安装器引导,但需要手动重建 Preboot 结构

从工程角度看,此次事件暴露了第三方操作系统与 Apple 平台深度绑定的风险。Asahi Linux 并非传统意义上的双系统 —— 它深度依赖 macOS 的启动基础设施,包括:

  • 使用 kmutil 工具将 m1n1 注册到 SEP 管理的启动策略
  • 依赖启动选择器的卷扫描逻辑识别 Linux 分区
  • 需要 1TR(One True RecoveryOS)模式进行安全策略降级

任何 macOS 启动链的变更都可能产生级联影响。

长期兼容性展望

Apple Silicon 的设计目标之一是 "开放给其他操作系统",但实现方式是将 macOS 启动 ABI 作为事实标准。Asahi Linux 的成功运行依赖于精确模拟 macOS 的启动行为,这种 "行为兼容" 而非 "接口兼容" 的模式天然脆弱。

建议关注以下技术参数以评估未来兼容性风险:

  • 启动策略版本:macOS 27 可能引入新的 Boot Policy 格式
  • Preboot 卷结构:Apple 可能修改 iBoot2 期望的目录布局
  • fuOS 支持状态:Apple 对第三方内核的政策是否发生根本性转变

目前 Asahi 团队正与 Apple 沟通修复方案。对于计划长期运行 Linux 的 Apple Silicon 用户,建议保持 macOS 26 直至官方确认兼容性恢复。

参考来源

systems

内容声明:本文无广告投放、无付费植入。

如有事实性问题,欢迎发送勘误至 i@hotdrydog.com