Innihald fela sig
1 TQMa93 Örugg ræsing
2 Upplýsingar um vöru
3 Málsmeðferð
4 Undirbúningur
5 U-stígvél
6 FIT-mynd
7 Algengar spurningar
8 Skjöl / auðlindir
8.1 Heimildir

TQMa93-merki

TQMa93 Örugg ræsing

TQMa93-Örugg-Ræsingarvara

Upplýsingar um vöru

Tæknilýsing

  • Gerð: TQMa93xx
  • Stýrikerfi: Linux (Ubuntu 22.04)
  • Öryggiseiginleiki: Örugg ræsing

ATHUGIÐ: Öryggi (einnota forritanleg) eru stillt í þessari leiðbeiningum, þetta ferli er óafturkræft. Því er eindregið mælt með því að nota þróunarmynstur fyrir þessa handbók.

Málsmeðferð

Þessi handbók útskýrir hvernig hægt er að koma á traustkeðju frá ræsiforritinu í gegnum Linux kjarnann að rótarsneið með dm-verity.
Eftirfarandi tafla veitir einfaldaða lýsingu á skrefunum sem fylgja því að búa til traustkeðjuna og staðfesta hana við ræsingarferlið:

TQMa93-Örugg-Ræsing-01

Undirbúningur

Eftirfarandi verkefni eru nauðsynleg til að búa til undirritaðan ræsistraum fyrir TQMa93xx:

Ræsistraumurinn fyrir TQMa93xx samanstendur af nokkrum gripum. Til að sækja alla þessa gripi úr sama uppsprettu er mælt með því að nota TQ Yocto vinnusvæðið ci-meta-tq. Hægt er að fylgja leiðbeiningunum sem þar eru til að búa til heildarmynd (tq-image-weston-debug eða tq-image-generic-debug) fyrir eitt af eftirfarandi tækjum sem byggja á TQMa93xx:

  • tqma93xx-mba91xxca.conf
  • tqma93xx-mba93xxca.conf
  • tqma93xxla-mba93xxla.conf

ATHUGIÐ: Til að búa til U-Boot með öruggri ræsingarvirkni (AHAB) verður að bæta eftirfarandi línu við local.conf:
DISTRO_FEATURES: bæta við = "öruggt"
Næst þarf að endurskapa ræsistrauminn:
$ bitbake imx-boot

Einnig er hægt að nota TQ Yocto vinnusvæðið til að búa til mynd af allri traustkeðjunni sem hér er kynnt. Stillingarnar sem þarf til þess eru lýstar í kafla 5.2.
Heimildirnar fyrir Linux kjarnann og U-Boot eru valfrjálsar en ráðlagðar. Hægt er að hlaða þeim niður af Github:

U-stígvél

Að búa til lykla
Undirritun og staðfesting ræsistraumsins er framkvæmd með því að nota opinberan lykilinnvið (PKI). Ef kóðaundirritunartólið er ekki þegar tiltækt er hægt að nota það til að búa til viðeigandi PKI. CST 3.4.x er tar.gz skjalasafn sem þarf aðeins að taka upp. Engin frekari uppsetning er nauðsynleg. Eftirfarandi skref er hægt að nota til að búa til sampLyklar fyrir þessa handbók:

ATHUGIÐ: Slóðir eru miðaðar við möppuna sem var sótt úr skjalasafninu.

  1. Sláðu inn raðnúmer fyrsta skírteinis í lykla/raðnúmer (file verður að vera búið til): 12345678
  2. Sláðu inn lykilorðið tvisvar í keys/key_pass.txt (file verður að búa til):
    lykilorð mitt lykilorð mitt
  3. Búa til PKI tré:
    $ keys/ahab_pki_tree.sh -existing-ca n -kt ecc -kl p521 -da sha512 -duration 10 -srk-ca n
    Til að fá útskýringu á valkostunum, vinsamlegast vísið til notendahandbókarinnar sem er að finna í CST (í undirmöppunni docs) eða –help valkostinum í handritinu hér að ofan.
    Einnig er hægt að kalla á handritið án valkosta og stilla það í gagnvirkum ham.
    Handritið býr til lykla í keys/ og vottorð í crts/.
  4. Búa til SRK töflu og SRK kjötkássutöflu:
    `$ linux64/bin/srktool -a -s sha512 -d sha256 -t SRK_1_2_3_4_table.bin`
    -e SRK_1_2_3_4_fuse.bin -f 1 -c
    crts/SRK1_sha512_secp521r1_v3_usr_crt.pem,crts/SRK2_sha512_secp521r1_v3_usr_crt. pem,crts/SRK3_sha512_secp521r1_v3_usr_crt.pem,crts/SRK4_sha512_secp521r1_v3_usr_ crt.pem
  5. Skrifaðu SRK kjötkássutöflu í fuses:
    ATHUGIÐ: Þetta skref er aðeins mögulegt einu sinni og er óafturkræft. Eftirfarandi gildi eru aðeins dæmiampog verður að vera skipt út fyrir þín eigin gildi.
    • Sýna hass-gildi:
      $ hexdump -e '/4 “0x”' -e '/4 “%X””\n”' SRK_1_2_3_4_fuse.bin
      0x00000000
      0x11111111
      0x22222222
      0x33333333
      0x44444444
      0x55555555
      0x66666666
      0x77777777
    • Skrifaðu hass í fuses (TQMa93xx U-Boot):
      => öryggisforrit 16 0 0x00000000
      => öryggisforrit 16 1 0x11111111
      => öryggisforrit 16 2 0x22222222
      => öryggisforrit 16 3 0x33333333
      => öryggisforrit 16 4 0x44444444
      => öryggisforrit 16 5 0x55555555
      => öryggisforrit 16 6 0x66666666
      => öryggisforrit 16 7 0x77777777

 Að búa til undirritaðan ræsistraum

 U-stígvél og ATF

  1. Afritaðu það sem þarf files (gerð TQ myndar hefur tekist, sjá að ofan, eða U-Boot heimildirnar eru notaðar):
    • ARM Traust vélbúnaðarforrit: ${DEPLOY_DIR_IMAGE}/bl31-imx93.bin, endurnefna í bl31.bin
    • U-stígvél í lagi:
      ${DEPLOY_DIR_IMAGE}/u-boot.bin
      Þetta file er tengill, svo afritaðu hann með cp –-dereference eða birtu og afritaðu upprunalega file með ls –-long
      or
      úr sjálfsamsettum U-Boot heimildum
      Þessar files verður að vera afritað í imx-mkimage/iMX9/. Hægt er að sækja imx-mkimage úr Github geymslunni sem getið er hér að ofan, engin uppsetning er nauðsynleg.
  2. Smíðaðu ílát með U-Boot Proper og ATF (keyrðu í möppunni imx-mkimage):
    $ make SOC=iMX9 REV=A1 u-boot-atf-container.img innihalda autobuild.mak
    • CST: GÁMUR 0 frávik: 0x0
    • CST: GÁMUR 0: Undirskriftarblokk: offset er við 0x110
    • Frávik = 0x0 0x110
    • LOKIÐ.
    • Athugið: Vinsamlegast afritið myndina í offset: IVT_OFFSET + IMAGE_OFFSET
      ATHUGIÐ: Frávik fyrir ílátið og undirskriftarblokkina eru nauðsynleg í næsta skrefi.
    • Síðan verður að afrita gripinn imx-mkimage/iMX9/u-boot-atf-container.img í CST möppuna sem var pakkað upp í skrefi „3.1 Að búa til lykla“.
  3. Flytja offset íláts og undirskriftarblokkar yfir í skipanaraða File (CSF):
    • [haus]
    • Markmið = AHAB
    • Útgáfa = 1.0
    • [Setja upp SRK]
    • File = „SRK_1_2_3_4_table.bin“
    • Source = “crts/SRK1_sha512_secp521r1_v3_usr_crt.pem”
    • Heimildarvísitala = 0
    • Upprunasett = OEM
    • Afturköllun = 0x0
    • [Auðkenna gögn]
    • File = „u-boot-atf-container.img“
    • Frávik = 0x0 0x110
    • Mænuvökvi byggður á: https://github.com/nxp-imx/uboot-imx/blob/lf_v2024.04/doc/imx/ahab/csf_examples/csf_uboot_atf.txt
    • CSF skráin er einnig geymd í CST möppunni með nafninu csf_uboot_atf.txt sem var pakkað upp í skrefi „3.1 Að búa til lykla“.
  4. Undirritunarílát (slóð miðað við CST möppuna):
    $ linux64/bin/cst -i csf_uboot_atf.txt -o signed-u-boot-atf-container.img Síðan verður að afrita undirritaða ílátið aftur í imx-mkimage/iMX9/u-boot-atf-container.img. Athugið endurnefninguna í u-boot-atf-container.img.

 Ljúka ræsistraumnum

  1. Afritaðu það sem þarf files (gert er ráð fyrir að smíði TQ myndar, sjá að ofan, eða U-Boot heimilda hafi tekist):
    • Fastbúnaðarhugbúnaður Edgelock Secure Enclave: ${DEPLOY_DIR_IMAGE}/mx93a1-ahab-container.img
    • Vinnsluminnishugbúnaður: ${DEPLOY_DIR_IMAGE}/lpddr4*.bin
    • U-Boot SPL:
      ${DEPLOY_DIR_IMAGE}/u-boot-spl.bin
      Þetta file er tengill, svo afritaðu hann með cp –-dereference eða birtu og afritaðu upprunalega file með ls –-long
      or
      úr sjálfsamsettum U-Boot heimildum
    • Undirritaður gámur með U-Boot Proper og ATF úr skrefi „3.2.1 U-Boot Proper og ATF“
      Þessar files verður einnig að vera afritað í imx-mkimage/iMX9/.
  2. Byggja ræsistraum
    • $ gera -j8 SOC=iMX9 REV=A1 flash_singleboot
      innihalda autobuild.mak
    • CST: GÁMUR 0 frávik: 0x400
    • CST: GÁMUR 0: Undirskriftarblokk: offset er við 0x490
    • Frávik = 0x400 0x490
    • LOKIÐ.
    • AthugiðVinsamlegast afritaðu myndina í offset: IVT_OFFSET + IMAGE_OFFSET bæta við u-boot-atf-container.img sem er 379 KB, psize=1024
    • 1145+0 færslur inn
    • 1145+0 plötur úti
    • 1172480 bæti (1.2 MB, 1.1 MiB) afrituð, 0.00266906 s, 439 MB/s
    • ATHUGIÐ: Frávik fyrir ílátið og undirskriftarblokkina eru nauðsynleg í næsta skrefi.
      Skráin imx-mkimage/iMX9/flash.bin verður síðan að vera afrita í CST möppuna sem var pakkað upp í skrefi „3.1 Að búa til lykla“.
  3. Flytja offset íláts og undirskriftarblokkar yfir í skipanaraða File (CSF):
    • [haus]
    • Markmið = AHAB
    • Útgáfa = 1.0
    • [Setja upp SRK]
    • File = „SRK_1_2_3_4_table.bin“
    • Source = “crts/SRK1_sha512_secp521r1_v3_usr_crt.pem”
    • Heimildarvísitala = 0
    • Upprunasett = OEM
    • Afturköllun = 0x0
    • [Auðkenna gögn]
    • File = „flash.bin“
    • Frávik = 0x400 0x490
    • Mænuvökvi byggður á: https://github.com/nxp-imx/uboot-imx/blob/lf_v2024.04/doc/imx/ahab/csf_examples/csf_boot_image.txt
    • CSF skráin er geymd í CST möppunni með nafninu csf_boot_image.txt sem var pakkað upp í skrefi „3.1 Að búa til lykla“.
  4. Undirritaðu ræsistrauminn
    • linux64/bin/cst -i csf_boot_image.txt -o signed-flash.bin

Skrefin til að skipta um ræsistrauminn er að finna í BSP laginu (https://github.com/tq-systems/meta-tq) undir meta-tq/doc.

Staðfesting
Til að athuga hvort undirritaða ræsistraumurinn sé gildur skaltu nota ahab_status skipunina í U-Boot:

  • => ahab_staða
  • Líftími: 0x00000008, OEM opið
  • Engir viðburðir fundust!
  • Ef atburður finnst er ræsistraumurinn ógildur og ekki hægt að ræsa á læstu tæki.

Til að fölsun geti átt sér stað er hægt að ræsa óundirritaðan ræsistraum og síðan kalla á ahab_status:

  • => ahab_staða
  • Líftími: 0x00000008, OEM opið
  • 0x0287fad6
  • IPC = MU APD (0x2)
  • CMD = ELE_OEM_CNTN_AUTH_REQ (0x87)
  • IND = ELE_BAD_KEY_HASH_FAILURE_IND (0xFA)
  • STA = ELE_SUCCESS_IND (0xD6)
  • 0x0287fad6
  • IPC = MU APD (0x2)
  • CMD = ELE_OEM_CNTN_AUTH_REQ (0x87)
  • IND = ELE_BAD_KEY_HASH_FAILURE_IND (0xFA)
  • STA = ELE_SUCCESS_IND (0xD6)

 Læstu tækinu

ATHUGIÐ: Þetta skref er óafturkræft og ætti aðeins að framkvæma það ef nauðsyn krefur. Ef stillingin er röng mun þetta skref leiða til ónothæfs tækis.

Hægt er að læsa tækinu í U-Boot með skipuninni ahab_close. Þetta þýðir að aðeins gild ræsistraumar sem staðfestir eru af Boot ROM munu ræsa. Eftirfarandi staða birtist eftir endurræsingu:

  • => ahab_staða
  • Líftími: 0x00000020, Lokað af framleiðanda
  • Engir viðburðir fundust!

FIT-mynd

ATHUGIÐ: Upplýsingar um slóð eru tengdar nýrri, tómri möppu, t.d.
fit_image_work, eða kjarnakóðinn, ef hann er sjálfþýðtur. Hér eftir nefnt vinnuskráin.

Að búa til lyklapar
Ósamhverft lyklapar er notað til að undirrita FIT myndina. Slíkt par er hægt að búa til með OpenSSL:

$ openssl genpkey -algrím RSA -out dev.key -pkeyopt rsa_keygen_bits:2048
$ openssl req -batch -new -x509 -key dev.key -out dev.crt

Búa til myndtrésuppsprettu

  • Búa til myndtré með upprunaheitinu sign.its fyrir FIT myndina.
  • /dts-útgáfa1/;
  • / {
  • lýsing = „Kjarnamynd fyrir TQMa93xx“;
  • #vistfang-frumur = <1>;
  • myndir {
  • kjarna-1 {
  • lýsing = „Linux kjarni“;
  • gögn = /incbin/(„Mynd“);
  • tegund = „kjarni“;
  • bogi = „arm64“;
  • stýrikerfi = „linux“;
  • þjöppun = „gzip“;
  • álag = <0x90000000>;
  • færsla = <0x90000000>;
  • kjötkássa-1 {
  • algo = “sha256”;
  • };
  • };
  • fdt-1 {
  • lýsing = „Flatað tækjatrésblettur“;
  • gögn = /incbin/(“ „);
  • tegund = „flat_dt“;
  • bogi = „arm64“;
  • þjöppun = „engin“;
  • álag = <0x97000000>;
  • kjötkássa-1 {
  • algo = “sha256”;
  • };
  • };
  • };
  • stillingar {
  • sjálfgefið = „samþykkt-1“;
  • conf-1 {
  • lýsing = „Linux kjarni, FDT blob“;
  • kjarni = „kjarni-1“;
  • fdt = „fdt-1“;
  • kjötkássa-1 {
  • algo = “sha256”;
  • };
  • undirskrift-1 {
  • reiknirit = “sha256,rsa2048”;
  • vísbending um lykilheiti = „þróun“;
  • fylling = „pkcs-1.5“;
  • táknmyndir = „kjarni“, „fdt“;
  • };
  • };
  • };
  • };

 Að búa til undirritaða FIT mynd

Athugið: Tvíundarskráin devicetree fyrir U-Boot er nauðsynleg fyrir þetta skref. Tilbúnar tvíundarskrár devicetree er að finna í Yocto vinnusvæðinu í U-Boot byggingarmöppunni. Slóðina að byggingarmöppunni er hægt að birta með bitbake virtual/bootloader –e | grep ^B=.

  1. Afritaðu það sem þarf files inn í vinnuskrána:
    • Endurnefna U-Boot devicetree imx93-tqma9352-mba91xxca.dtb, imx93-tqma9352-mba93xxca.dtb eða imx93-tqma9352-mba93xxla.dtb, í pubkey.dtb:
      Úr U-Boot byggingarmöppunni í Yocto vinnusvæðinu (slóð: bitbake virtual/bootloader –e | grep ^B=)
      or
      úr sjálfsamsettum U-Boot heimildum
    • Linux-kjarni:
      ${DEPLOY_DIR_IMAGE}/Mynd
      Þetta file er tengill, svo afritaðu hann með cp –-dereference eða birtu og afritaðu upprunalega file með ls –-long
      or
      frá sjálfþýddum Linux kóðum
    • Linux tækjatré:
      Eftir því hvaða afbrigði er um að ræða ${DEPLOY_DIR_IMAGE}/imx93-tqma93…
      Þetta file er tengill, svo afritaðu hann með cp –-dereference eða birtu og afritaðu upprunalega file með ls –-long
      or
      frá sjálfþýddum Linux kóðum
    • Lyklarnir sem búnir voru til í skrefi 4.1
    • ITS file búið til í skrefi 4.2
  2. Búa til FIT mynd með undirskrift
    $ mkimage -f sign.its -K pubkey.dtb -k . -r image.itb
    Opinberi lykillinn er skrifaður í tækjatré U-Boot. Þessi lykill er notaður til að staðfesta FIT myndina sem undirrituð var hér að ofan.

ATHUGIÐ: Til að pakka U-Boot tækjatrénu með opinbera lyklinum inn í undirritaða ræsistrauminn úr kafla 3.2, verður að endurtaka skrefin úr kafla 3.2 með sérsniðnu U-Boot Proper u-boot.bin. Til að gera þetta, verður að tilgreina tækjatréð með opinbera lyklinum pubkey.dtb með EXT_DTB valkostinum þegar U-Boot er þýtt:
gera EXT_DTB=

Staðfesting
Í U-Boot með opinberum lyklum er hægt að ræsa undirrituðu FIT myndina image.itb með bootm eftir að hún hefur verið hlaðin inn af viðeigandi miðli (TFTP, eMMC, SD).
Þegar FIT myndin er ræst skilar U-Boot upplýsingunum Staðfesting á heilleika hashs … sha256,rsa2048:dev+ Í lagi með nafni, reiknirit og lengd lykilsins sem búinn var til í kafla 4.1 á stjórnborðinu:

  • ## Hleður kjarna úr FIT myndinni á 80400000 …
  • Staðfesting á heilleika hash-kóða … sha256,rsa2048:dev+ Í lagi
  • ## Hleður RAM-disk af FIT myndinni á 80400000 …
  • Staðfesting á heilleika hash-kóða … sha256,rsa2048:dev+ Í lagi
  • ## Hleður fdt úr FIT mynd á 80400000 …
  • Staðfesting á heilleika hash-kóða … sha256,rsa2048:dev+ Í lagi

Til að falsa lykla er hægt að búa til annað lyklapar eins og lýst er í kafla 4.1 og nota það til að undirrita FIT myndina. Þessa FIT mynd er ekki hægt að ræsa án þess að skipta um lykil í U-Boot Devicetree:
## Hleður kjarna úr FIT myndinni á 80400000 …

Notkun 'conf-1' stillingar
Staðfesting á heiðarleika hash-kóða … sha256,rsa2048:test- villa!
Staðfesting mistókst fyrir ' 'kjötkjötshnútur í stillingahnúti 'conf-1'
Mistókst að staðfesta nauðsynlega undirskrift 'key-dev'
Ógreidd gagna-kassi
VILLA: ekki er hægt að sækja kjarnamynd!

Útvíkka traustkeðju: rótarskipting
Áður komið á fót traustkeðju staðfestir uppruna U-Boot og Linux kjarnans. Með þeim aðferðum sem nefndar eru hér að ofan getur aðeins eigandi myndaðs einkalykils undirritað hugbúnað sinn og ræst hann á tækinu. Hægt er að bæta við frekari tenglum í keðjuna. Í eftirfarandi kafla er lýst hvernig hægt er að vernda rótarskiptinguna gegn stjórnun með dm-verity. Fyrir raunverulega útfærslu er einnig sýnt hvernig hægt er að búa til alla keðjuna með TQ-BSP. Skref-fyrir-skref leiðbeiningar um dm-verity verndun eru sleppt vegna flækjustigs krafnanna.

 Teikning: Verity Devicemapper

  1. Búa til Verity hass-gildi:
    veritysetup reiknar út kjötkássgildin og geymir þau í lok rótarskiptingarinnar. Rótarskiptingin getur verið raunveruleg file eða blokkatæki file (t.d. /dev/sdaX).
    • veritysetup \
    • –gagnablokkarstærð=1024 \
    • –hash-blokk-stærð=4096 \
    • –kjötkássa-mótfærsla= \
    • snið \
    • \
    • veritysetup gefur út eftirfarandi upplýsingar (með samsvarandi mismunandi gildum):
    • Upplýsingar um VERITY haus fyrir data.img
    • UUID: e06ff4cb-6b56-4ad4-bd97-0104505a70a5
    • Tegund hasskóða: 1
    • Gagnablokkir: 204800
    • Stærð gagnablokkar: 1024
    • Stærð hash-blokkar: 4096
    • Kassi reiknirit: sha256
    • Salt: 17328c48990b76fbb3e05d0ebfd236043674cf0d14c278bc875b42693621cc21
    • Root hash: a0e1a449d452f74d041706b955794c0041e3d8ad051068df6589e08485323698
    • Rótarkóðinn er viðkvæmt gildi sem þarf að vernda. Ef þessi kóði er í hættu, t.d. ef óviðkomandi getur breytt honum, þá er verndun rótarskiptingarinnar með dm-verity einskis virði.
  2. Samþætta rótarkjötið í traustkeðjuna
    • Rótar-kjöllistinn sem myndaður var hér að ofan er geymdur í undirrituðu FIT myndinni, sem verndar hana gegn breytingum. Í þessu skyni er initramfs bætt við FIT myndina þar sem rótar-kjöllistinn er geymdur í file.
    • Myndahnúta ITS file úr kafla 4.2 er meðal annars útvíkkað með eftirfarandi kafla:
    • ramdisk-1 {
    • lýsing = „dm-verity-image-initramfs“;
    • gögn = /incbin/(“ „);
    • tegund = „ramdiskur“;
    • bogi = „arm64“;
    • stýrikerfi = „linux“;
    • þjöppun = „engin“;
    • álag = <0x98000000>;
    • færsla = <0x98000000>;
    • kjötkássa-1 {
    • algo = “sha256”;
    • };
    • };
  3. Athugaðu heilleika rótarskiptingarinnar
    • Initramfs skráin inniheldur viðeigandi forskrift sem býr til tækjakortleggjara úr rótarskiptingunni og rótarkjöldunni.
    • veritysetup \
    • –gagnablokkarstærð=${GATA_BLOCK_SIZE} \
    • –kjöllu-mótfærsla=${GÖGNASTÆRÐ} \
    • búa til rootfs \
    • \
    • \

Tækjakortleggjarinn er síðan settur upp:

  • fjall \
  • -o ro \
  • /dev/mapper/rootfs \
  • /rootfs

Rótin fileKerfið er aðeins leshæft. Til að skipta yfir í raunverulega rótina filekerfi, notaðu switch-root.

Sjálfvirk sköpun með TQ-BSP
Í meginatriðum er hægt að búa til sjálfvirkt mynd með traustkeðju frá ræsistjóranum að rótarskiptingunni með TQ-BSP.
Fyrir TQMa93xx þarf að bæta eftirfarandi valkostum við local.conf:

  • # DISTRO_FEATURE tryggir nauðsynlegar stillingar fyrir U-Boot og kjarna
  • DISTRO_FEATURES: bæta við = "öruggt"
  • # Nafn lykilsins sem notaður er til að undirrita ræsiforritið
  • IMX_HAB_KEY_NAME = „ahab“
  • # Virkjar undirritun FIT myndarinnar í smíðaferlinu
  • UBOOT_SIGN_ENABLE = „1“
  • # Þessi klasi inniheldur rökfræðina fyrir að búa til verndaða rótarsneiðingu
  • MYND_FLOKKA += „dm-verity-mynd“
  • # Nafn initramfs myndarinnar fyrir dm-verity meðhöndlun
  • INITRAMFS_IMAGE = „dm-verity-image-initramfs“
  • # Initramfs er geymt sem sérstakt grip í myndinni
  • INITRAMFS_IMAGE_BUNDLE = „0“
  • # Geymið FIT myndina með initramfs í ræsiskiptingunni
  • MYND_RÆSING_FILES:append = ” fitImage-${INITRAMFS_IMAGE}-${MACHINE}-“
  • "${MACHINE};fitImage" # Mynd sem á að vernda með dm-verity
  • # Valkostur: tq-image-weston-debug
  • DM_VERITY_IMAGE = „tq-image-almenn-kembun“
  • # Tegund myndarinnar að ofan
  • DM_VERITY_IMAGE_TYPE = „viðbót4“

ATHUGIÐ: Nákvæmir valkostir geta breyst í framtíðarútgáfum af BSP. Nýjustu upplýsingar er að finna í skjölun BSP lagsins (https://github.com/tq-systems/meta-tq) undir meta-tq/doc.

Heildarmyndin er búin til með bitbake tq-image-generic-debug og er síðan hægt að skrifa hana á SD-kort, til dæmis.ample.

Staðfesting
Í Linux er hægt að nota mount -a til að athuga hvort Verity Devicemapper sé tengdur sem rót. filekerfi:

  • # fjall
  • /dev/mapper/rootfs á / sláðu inn ext4 (ro, relatime)
  • Að auki, öll rótin file Kerfið er aðeins leshæft í þessu tilfelli:
  • # snertipróf
  • snerting: get ekki snert 'prófun': Aðeins lesaðgangur file kerfi

Fyrir fölsun, rótin file Hægt er að breyta kerfinu án nettengingar og endurræsa tækið. Breytingin veldur öðruvísi rótarkjölfestu og ræsingarferlið er hætt: device-mapper: verity: 179:98: gagnablokk 1 er skemmd.

Nánari upplýsingar um TQMa93xx er að finna í TQ Support Wiki: https://support.tq-group.com/en/arm/modules#nxp_imx_9_series

TQ-Systems GmbH
Mühlstraße 2 l Gut Delling l 82229 Seefeld Upplýsingar frá TQ-Group | TQ-Group

Algengar spurningar

Sp.: Er mögulegt að snúa við óafturkræfu ferlinu við að festa öryggi sem getið er um í leiðbeiningunum?
A: Nei, það er ekki hægt að afturkalla stillingu á öryggi. Það er mælt með því að nota þróunarmynstur.

Sp.: Hvar finn ég nauðsynlegar hugbúnaðarlausnir fyrir Linux og U-Boot?

A: Linux:
Linux geymsla
U-stígvél: U-stígvél
Geymsla

Skjöl / auðlindir

TQ TQMa93 Örugg ræsing [pdfNotendahandbók
TQMa93xx, TQMa93 Örugg ræsing, Örugg ræsing, Ræsing

Heimildir

Skildu eftir athugasemd

Netfangið þitt verður ekki birt. Nauðsynlegir reitir eru merktir *