Linux系统CPU漏洞检测指南 Spectre与Meltdown状态查看方法

准确判断Linux系统是否受到Spectre或Meltdown漏洞的影响，仅仅查看内核版本号或发行版的更新记录是不够的。最可靠的方法是直接对当前运行的系统进行“诊断”，检查其实际的漏洞暴露情况和已启用的缓解措施是否生效。

免费影视、动漫、音乐、游戏、小说资源长期稳定更新！ 👉 点此立即查看 👈

核心要点：系统状态是动态的，必须通过实时检测来确认。

方法一：直接读取/sys/devices/system/cpu/vulnerabilities/目录

这是最直接、最权威的实时检查途径。系统启动后，内核会根据CPU型号、微码版本、内核配置以及启动参数，自动在此目录下生成反映各个漏洞状态的文件。

• 执行命令 grep . /sys/devices/system/cpu/vulnerabilities/*，你将看到类似以下的输出：
  /sys/devices/system/cpu/vulnerabilities/spectre_v1:Vulnerable
/sys/devices/system/cpu/vulnerabilities/spectre_v2:Mitigation: Full retpoline
/sys/devices/system/cpu/vulnerabilities/meltdown:Mitigation: PTI
• 需要注意一个细节：如果某个漏洞对应的文件不存在（例如找不到spectre_v2），这通常意味着你的CPU硬件本身就不受该变体影响，或者你使用的内核版本较旧（例如4.15之前），可能尚未集成对应的检测功能。
• 此外，看到状态显示为Vulnerable也不必立即紧张。这个状态仅表示“系统未启用软件层面的缓解措施”，但实际攻击能否成功，还取决于微码版本是否更新、超线程是否关闭等其他因素。

方法二：使用spectre-meltdown-checker.sh脚本进行交叉验证

内核接口反映的是“当前生效状态”，而第三方脚本能提供更全面的背景信息，相当于一次交叉验证，有助于避免误判。

• 使用方法很简单：首先克隆仓库 git clone https://github.com/speed47/spectre-meltdown-checker.git，然后进入目录使用root权限运行 sudo ./spectre-meltdown-checker.sh。
• 请重点关注输出结果中关于Spectre v1、Spectre v2和Meltdown的部分。每段末尾的STATUS才是最终结论，例如STATUS: VULNERABLE (kernel is not patched)，这比单纯的Vulnerable更能明确指出问题在于“内核补丁缺失”。
• 脚本输出中有一行信息尤为关键，即microcode。如果此处显示microcode is not the latest，那么即使你的内核已打补丁，也可能因为微码过旧而导致硬件级缓解措施失效，这在Intel CPU上尤为常见。

方法三：确认缓解措施是否真正生效：检查mitigations=内核启动参数

许多用户明明更新了内核，系统却仍显示Vulnerable，问题往往出在启动参数上。如果在启动时显式添加了mitigations=off或spec_store_bypass_disable=off这类参数，就等于手动关闭了所有漏洞缓解功能。

• 检查当前生效的启动参数：cat /proc/cmdline | grep -E "(mitigations|spec_store|pti|retpoline)"。
• 只要其中包含mitigations=off，那么所有漏洞状态都会被强制标记为Vulnerable，即使你的内核和微码都是最新版本也无济于事。
• 如果想临时测试关闭缓解措施对性能的影响，可以使用sudo sysctl -w kernel.spec_store_bypass_disable=off。但请记住，此设置重启后即失效，且它并不完全等同于通过启动参数来关闭所有缓解。

在实际生产环境中，最容易出现问题的是微码与内核的协同工作。例如，Ubuntu 20.04默认搭载Linux 5.4内核，它确实支持PTI和retpoline等缓解技术。然而，如果系统中的intel-microcode软件包未更新到2020年以后的版本，那么针对Spectre v2的硬件级间接分支限制推测（IBRS）功能将无法启用。这样一来，系统就只能依赖软件层面的retpoline进行防护，性能损耗会相当明显。因此，不要只专注于使用apt upgrade升级内核，也请记得使用sudo dmesg | grep microcode命令查看微码加载的版本号，确保两者都已到位并协同工作。