Vsebina skriti
1 Varni zagon TQMa93
2 Informacije o izdelku
3 Postopek
4 Priprava
5 U-Boot
6 FIT-Image
7 Pogosto zastavljena vprašanja
8 Dokumenti / Viri
8.1 Reference

TQMa93-logo

Varni zagon TQMa93

Izdelek TQMa93-Secure-Boot

Informacije o izdelku

Specifikacije

  • Model: TQMa93xx
  • Operacijski sistem: Linux (Ubuntu 22.04)
  • Varnostna funkcija: Secure Boot

POZOR: Varovalke (enkratno programirljive) so nastavljene v tem priročniku, ta postopek je nepovraten. Zato je zelo priporočljivo, da za ta priročnik uporabite razvojni vzorec.

Postopek

Ta priročnik pojasnjuje, kako je mogoče vzpostaviti verigo zaupanja od zagonskega nalagalnika prek jedra Linuxa do korenske particije z dm-verity.
Naslednja tabela poenostavljeno opisuje korake, ki so vključeni v ustvarjanje verige zaupanja in preverjanja med postopkom zagona:

TQMa93-Secure-Boot-01

Priprava

Za ustvarjanje podpisanega zagonskega toka za TQMa93xx so potrebni naslednji projekti:

Zagonski tok za TQMa93xx je sestavljen iz več artefaktov. Za pridobitev vseh teh artefaktov iz istega vira je priporočljivo uporabiti delovni prostor TQ Yocto ci-meta-tq. Navodila, ki so tam vključena, lahko sledite za izgradnjo celotne slike (tq-image-weston-debug ali tq-image-generic-debug) za eno od naslednjih naprav, ki temeljijo na TQMa93xx:

  • tqma93xx-mba91xxca.conf
  • tqma93xx-mba93xxca.conf
  • tqma93xxla-mba93xxla.conf

POZOR: Za ustvarjanje U-Boota s funkcijo varnega zagona (AHAB) je treba v datoteko local.conf dodati naslednjo vrstico:
DISTRO_FEATURES:append = »varno«
Nato je treba ponovno ustvariti zagonski tok:
$ bitbake imx-boot

Delovno okolje TQ Yocto se lahko uporabi tudi za ustvarjanje slike celotne verige zaupanja, predstavljene tukaj. Nastavitve, potrebne za to, so opisane v poglavju 5.2.
Izvorna koda za jedro Linuxa in U-Boot ni obvezna, vendar priporočljiva. Lahko ju prenesete z Githuba:

U-Boot

Ustvarjanje ključev
Podpisovanje in preverjanje zagonskega toka se izvaja z uporabo infrastrukture javnih ključev (PKI). Če orodje za podpisovanje kode še ni na voljo, ga lahko uporabite za ustvarjanje ustreznega PKI. CST 3.4.x je arhiv tar.gz, ki ga je treba le razpakirati. Nadaljnja namestitev ni potrebna. Za ustvarjanje datotek s lahko uporabite naslednje korake.ampKljuči za ta priročnik:

POZOR: Poti so relativne glede na mapo, ki je bila izvlečena iz arhiva.

  1. Vnesite serijsko številko prvega potrdila v keys/serial (file mora biti ustvarjen): 12345678
  2. Geslo vnesite dvakrat v datoteko keys/key_pass.txt (file mora biti ustvarjen):
    moje_geslo moje_geslo
  3. Ustvari drevo PKI:
    $ keys/ahab_pki_tree.sh -existing-ca n -kt ecc -kl p521 -da sha512 -trajanje 10 -srk-ca n
    Za razlago možnosti glejte uporabniški priročnik v CST-ju (v podmapi docs) ali možnost –help zgornjega skripta.
    Skript lahko pokličete tudi brez možnosti in ga konfigurirate v interaktivnem načinu.
    Skripta generira ključe v keys/ in potrdila v crts/.
  4. Ustvari tabelo SRK in zgoščevalno tabelo SRK:
    $ linux64/bin/srktool -a -s sha512 -d sha256 -t SRK_1_2_3_4_table.bin \
    -e SRK_1_2_3_4_fuse.bin -f 1 -c
    crts/SRK1_sha512_secp521r1_v3_usr_crt.pem,crts/SRK2_sha512_secp521r1_v3_usr_crt. pem,crts/SRK3_sha512_secp521r1_v3_usr_crt.pem,crts/SRK4_sha512_secp521r1_v3_usr_ crt.pem
  5. Zapiši zgoščevalno tabelo SRK v fuses:
    POZOR: Ta korak je mogoč samo enkrat in je nepovraten. Naslednje vrednosti so le npr.amples in jih je treba nadomestiti z lastnimi vrednostmi.
    • Prikaži zgoščene vrednosti:
      $ hexdump -e '/4 “0x”' -e '/4 “%X””\n”' SRK_1_2_3_4_fuse.bin
      0x00000000
      0x11111111
      0x22222222
      0x33333333
      0x44444444
      0x55555555
      0x66666666
      0x77777777
    • Zapiši zgoščene vrednosti v varovalke (TQMa93xx U-Boot):
      => program varovalke 16 0 0x00000000
      => program varovalke 16 1 0x11111111
      => program varovalke 16 2 0x22222222
      => program varovalke 16 3 0x33333333
      => program varovalke 16 4 0x44444444
      => program varovalke 16 5 0x55555555
      => program varovalke 16 6 0x66666666
      => program varovalke 16 7 0x77777777

 Ustvarjanje podpisanega zagonskega toka

 U-Boot Proper in ATF

  1. Kopirajte zahtevano files (predpostavlja se uspešna izgradnja slike TQ, glejte zgoraj ali izvorne kode U-Boota):
    • Zaupanja vredna vdelana programska oprema ARM: ${DEPLOY_DIR_IMAGE}/bl31-imx93.bin, preimenujte v bl31.bin
    • Pravilen U-Boot:
      ${DEPLOY_DIR_IMAGE}/u-boot.bin
      to file je povezava, zato jo kopirajte s cp --dereference ali prikaži in kopirajte izvirnik file z ls –-dolgo
      or
      iz samoprevedenih izvornih kod U-Boota
      te fileDatoteke je treba kopirati v datoteko imx-mkimage/iMX9/. Datoteko imx-mkimage lahko dobite iz zgoraj omenjenega repozitorija Github, namestitev ni potrebna.
  2. Zgradite vsebnik z U-Boot Proper in ATF (izvedite v mapi imx-mkimage):
    $ naredi SOC=iMX9 REV=A1 u-boot-atf-container.img vključi autobuild.mak
    • CST: CONTAINER 0 odmik: 0x0
    • CST: VSEBINA 0: Blok podpisa: odmik je pri 0x110
    • Odmiki = 0x0 0x110
    • KONČANO.
    • Opomba: Prosimo, kopirajte sliko v odmik: IVT_OFFSET + IMAGE_OFFSET
      POZOR: V naslednjem koraku so potrebni odmiki za vsebnik in blok podpisa.
    • Artefakt imx-mkimage/iMX9/u-boot-atf-container.img je nato treba kopirati v mapo CST, ki ste jo razpakirali v koraku »3.1 Ustvarjanje ključev«.
  3. Prenesi odmik vsebnika in podpisnega bloka v zaporedje ukazov File (CSF):
    • [Glava]
    • Cilj = AHAB
    • Različica = 1.0
    • [Namesti SRK]
    • File = “SRK_1_2_3_4_table.bin”
    • Source = “crts/SRK1_sha512_secp521r1_v3_usr_crt.pem”
    • Izvorni indeks = 0
    • Izvorni niz = OEM
    • Preklici = 0x0
    • [Preverjanje pristnosti podatkov]
    • File = »u-boot-atf-posoda.img«
    • Odmiki = 0x0 0x110
    • CSF na podlagi: https://github.com/nxp-imx/uboot-imx/blob/lf_v2024.04/doc/imx/ahab/csf_examples/csf_uboot_atf.txt
    • CSF je shranjen tudi v mapi CST z imenom csf_uboot_atf.txt, ki je bila razpakirana v koraku »3.1 Generiranje ključev«.
  4. Podpiši vsebnik (pot glede na mapo CST):
    $ linux64/bin/cst -i csf_uboot_atf.txt -o signed-u-boot-atf-container.img Podpisan vsebnik je nato treba kopirati nazaj v datoteko imx-mkimage/iMX9/u-boot-atf-container.img. Bodite pozorni na preimenovanje v u-boot-atf-container.img.

 Popoln zagonski tok

  1. Kopirajte zahtevano files (predpostavlja se uspešna izgradnja slike TQ, glejte zgoraj, ali izvorne kode U-Boota):
    • Vdelana programska oprema Edgelock Secure Enclave: ${DEPLOY_DIR_IMAGE}/mx93a1-ahab-container.img
    • Vdelana programska oprema RAM-a: ${DEPLOY_DIR_IMAGE}/lpddr4*.bin
    • U-Boot SPL:
      ${DEPLOY_DIR_IMAGE}/u-boot-spl.bin
      to file je povezava, zato jo kopirajte s cp --dereference ali prikaži in kopirajte izvirnik file z ls –-dolgo
      or
      iz samoprevedenih izvornih kod U-Boota
    • Podpisan vsebnik z U-Boot Proper in ATF iz koraka „3.2.1 U-Boot Proper in ATF“
      te fileDatoteke s je treba kopirati tudi v datoteko imx-mkimage/iMX9/.
  2. Zgradite zagonski tok
    • $ make -j8 SOC=iMX9 REV=A1 flash_singleboot
      vključi autobuild.mak
    • CST: CONTAINER 0 odmik: 0x400
    • CST: VSEBINA 0: Blok podpisa: odmik je pri 0x490
    • Odmiki = 0x400 0x490
    • KONČANO.
    • OpombaProsim, kopirajte sliko v odmik: IVT_OFFSET + IMAGE_OFFSET, dodajte datoteko u-boot-atf-container.img pri 379 KB, psige=1024
    • 1145+0 zapisov v
    • Izšlo je 1145+0 plošč
    • 1172480 bajtov (1.2 MB, 1.1 MiB) kopiranih, 0.00266906 s, 439 MB/s
    • POZOR: V naslednjem koraku so potrebni odmiki za vsebnik in blok podpisa.
      Artefakt imx-mkimage/iMX9/flash.bin je nato treba kopirati v mapo CST, ki ste jo razpakirali v koraku »3.1 Ustvarjanje ključev«.
  3. Prenesi odmik vsebnika in podpisnega bloka v zaporedje ukazov File (CSF):
    • [Glava]
    • Cilj = AHAB
    • Različica = 1.0
    • [Namesti SRK]
    • File = “SRK_1_2_3_4_table.bin”
    • Source = “crts/SRK1_sha512_secp521r1_v3_usr_crt.pem”
    • Izvorni indeks = 0
    • Izvorni niz = OEM
    • Preklici = 0x0
    • [Preverjanje pristnosti podatkov]
    • File = »flash.bin«
    • Odmiki = 0x400 0x490
    • CSF na podlagi: https://github.com/nxp-imx/uboot-imx/blob/lf_v2024.04/doc/imx/ahab/csf_examples/csf_boot_image.txt
    • CSF je shranjen v mapi CST z imenom csf_boot_image.txt, razpakiran v koraku »3.1 Ustvarjanje ključev«.
  4. Podpišite zagonski tok
    • linux64/bin/cst -i csf_boot_image.txt -o signed-flash.bin

Korake za zamenjavo zagonskega toka najdete v plasti BSP (https://github.com/tq-systems/meta-tq) pod meta-tq/doc.

Preverjanje
Če želite preveriti, ali je podpisan zagonski tok veljaven, uporabite ukaz ahab_status v U-Bootu:

  • => ahab_status
  • Življenjski cikel: 0x00000008, OEM odprto
  • Ni najdenih dogodkov!
  • Če je najden dogodek, je zagonski tok neveljaven in se ne bo mogel zagnati na zaklenjeni napravi.

Za ponarejanje se lahko zažene nepodpisan zagonski tok in nato se pokliče ahab_status:

  • => ahab_status
  • Življenjski cikel: 0x00000008, OEM odprto
  • 0x0287fad6
  • IPC = MU APD (0x2)
  • CMD = ELE_OEM_CNTN_AUTH_REQ (0x87)
  • IND = IND_NEUSPEŠNE_ZGOŠČENE_KLJUČA_ELE (0xFA)
  • STA = ELE_SUCCESS_IND (0xD6)
  • 0x0287fad6
  • IPC = MU APD (0x2)
  • CMD = ELE_OEM_CNTN_AUTH_REQ (0x87)
  • IND = IND_NEUSPEŠNE_ZGOŠČENE_KLJUČA_ELE (0xFA)
  • STA = ELE_SUCCESS_IND (0xD6)

 Zaklenite napravo

POZOR: Ta korak je nepreklicen in ga je treba izvesti le, če je to potrebno. Če je konfiguracija napačna, bo naprava zaradi tega koraka neuporabna.

Napravo je mogoče v U-Bootu zakleniti z ukazom ahab_close. To pomeni, da se bodo zagnali samo veljavni zagonski tokovi, ki jih potrdi zagonski ROM. Po ponovnem zagonu se prikaže naslednje stanje:

  • => ahab_status
  • Življenjski cikel: 0x00000020, OEM zaprto
  • Ni najdenih dogodkov!

FIT-Image

POZOR: Informacije o poti so relativne glede na novo, prazno mapo, npr.
fit_image_work ali izvorna koda jedra, če je bila samoprevedena. V nadaljevanju imenovana delovni imenik.

Generiranje para ključev
Za podpis slike FIT se uporablja asimetrični par ključev. Takšen par je mogoče ustvariti z OpenSSL:

$ openssl genpkey -algorithm RSA -out dev.key -pkeyopt rsa_keygen_bits:2048
$ openssl req -batch -new -x509 -key dev.key -out dev.crt

Ustvari izvorno kodo drevesa slik

  • Ustvari izvorno kodo drevesa slik sign.its za sliko FIT.
  • /dts-v1/;
  • / {
  • opis = »Prilagajanje jedra za TQMa93xx«;
  • #naslov-celic = <1>;
  • slike {
  • jedro-1 {
  • opis = »Jedro Linuxa«;
  • podatki = /incbin/(»Slika«);
  • tip = "jedro";
  • lok = "arm64";
  • os = »linux«;
  • stiskanje = »gzip«;
  • nalaganje = <0x90000000>;
  • vnos = <0x90000000>;
  • zgoščena vrednost-1 {
  • algo = “sha256”;
  • };
  • };
  • fdt-1 {
  • opis = »Sploščena blob drevesa naprav«;
  • podatki = /incbin/(" ");
  • tip = “flat_dt”;
  • lok = "arm64";
  • stiskanje = »brez«;
  • nalaganje = <0x97000000>;
  • zgoščena vrednost-1 {
  • algo = “sha256”;
  • };
  • };
  • };
  • konfiguracije {
  • privzeto = “conf-1”;
  • conf-1 {
  • opis = »Jedro Linuxa, FDT blob«;
  • jedro = “jedro-1”;
  • fdt = “fdt-1”;
  • zgoščena vrednost-1 {
  • algo = “sha256”;
  • };
  • podpis-1 {
  • algo = “sha256, rsa2048”;
  • namig-imena-ključa = “razvoj”;
  • oblazinjenje = “pkcs-1.5”;
  • slike-znakov = »jedro«, »fdt«;
  • };
  • };
  • };
  • };

 Ustvarjanje podpisane slike FIT

Opomba: Za ta korak je potrebna binarna datoteka devicetree za U-Boot. Pripravljene binarne datoteke devicetree najdete v delovnem prostoru Yocto v imeniku za gradnjo U-Boota. Pot do imenika za gradnjo si lahko ogledate z ukazom bitbake virtual/bootloader –e | grep ^B=.

  1. Kopirajte zahtevano filev delovni imenik:
    • Preimenujte drevo naprav U-Boot imx93-tqma9352-mba91xxca.dtb, imx93-tqma9352-mba93xxca.dtb ali imx93-tqma9352-mba93xxla.dtb v pubkey.dtb:
      Iz imenika za gradnjo U-Boota v delovnem prostoru Yocto (pot: bitbake virtual/bootloader –e | grep ^B=)
      or
      iz samoprevedenih izvornih kod U-Boota
    • Jedro Linuxa:
      ${DEPLOY_DIR_IMAGE}/Slika
      to file je povezava, zato jo kopirajte s cp --dereference ali prikaži in kopirajte izvirnik file z ls –-dolgo
      or
      iz samoprevedenih izvornih kod Linuxa
    • Drevo naprav Linux:
      Odvisno od različice ${DEPLOY_DIR_IMAGE}/imx93-tqma93…
      to file je povezava, zato jo kopirajte s cp --dereference ali prikaži in kopirajte izvirnik file z ls –-dolgo
      or
      iz samoprevedenih izvornih kod Linuxa
    • Ključi, ustvarjeni v koraku 4.1
    • ITS file ustvarjen v koraku 4.2
  2. Ustvarite FIT sliko s podpisom
    $ mkimage -f sign.its -K javni_ključ.dtb -k . -r slika.itb
    Javni ključ se zapiše v drevo naprav sistema U-Boot. Ta ključ se uporablja za preverjanje zgoraj podpisane slike FIT.

POZOR: Za pakiranje drevesa naprav U-Boot z javnim ključem v podpisan zagonski tok iz poglavja 3.2 je treba korake iz poglavja 3.2 ponoviti s prilagojeno datoteko U-Boot Proper u-boot.bin. V ta namen je treba pri prevajanju U-Boota z možnostjo EXT_DTB določiti drevo naprav z javnim ključem pubkey.dtb:
naredi EXT_DTB=

Preverjanje
V U-Bootu z javnimi ključi se lahko podpisana slika FIT image.itb zažene z bootm, potem ko je bila naložena z ustreznega medija (TFTP, eMMC, SD).
Pri zagonu slike FIT U-Boot vrne informacije Preverjanje integritete zgoščene vrednosti … sha256,rsa2048:dev+ OK z imenom, algoritmom in dolžino ključa, ustvarjenega v poglavju 4.1 v konzoli:

  • ## Nalaganje jedra iz slike FIT na 80400000 …
  • Preverjanje integritete zgoščene vrednosti … sha256,rsa2048:dev+ V redu
  • ## Nalaganje ramdiska iz slike FIT na 80400000 …
  • Preverjanje integritete zgoščene vrednosti … sha256,rsa2048:dev+ V redu
  • ## Nalaganje fdt iz slike FIT na 80400000 …
  • Preverjanje integritete zgoščene vrednosti … sha256,rsa2048:dev+ V redu

Za ponarejanje je mogoče ustvariti drug par ključev, kot je opisano v poglavju 4.1, in ga uporabiti za podpis slike FIT. Te slike FIT ni mogoče zagnati brez izmenjave ključa v drevesu naprav U-Boot:
## Nalaganje jedra iz slike FIT na 80400000 …

Uporaba konfiguracije 'conf-1'
Preverjanje integritete zgoščene vrednosti … sha256,rsa2048:test- napaka!
Preverjanje ni uspelo za ' 'hash vozlišče v konfiguracijskem vozlišču 'conf-1'
Preverjanje zahtevanega podpisa 'key-dev' ni uspelo
Slaba zgoščena vrednost podatkov
NAPAKA: slike jedra ni mogoče dobiti!

Razširitev verige zaupanja: korenska particija
Predhodno vzpostavljena veriga zaupanja preverja izvor jedra U-Boot in Linux. Z zgoraj omenjenimi mehanizmi lahko le lastnik ustvarjenega zasebnega ključa podpiše svojo programsko opremo in jo zažene na napravi. Verigi je mogoče dodati nadaljnje povezave. Naslednji razdelek opisuje, kako je mogoče korensko particijo zaščititi pred manipulacijo z uporabo dm-verity. Za dejansko izvedbo je prikazano tudi, kako je mogoče celotno verigo ustvariti s TQ-BSP. Vodnik po korakih za zaščito dm-verity je zaradi kompleksnosti zahtev izpuščen.

 Skica: Verity Devicemapper

  1. Generiraj Verityjeve zgoščene vrednosti:
    veritysetup izračuna zgoščevalne vrednosti in jih shrani na konec korenske particije. Korenska particija je lahko dejanska file ali blokovno napravo file (npr. /dev/sdaX).
    • veritysetup \
    • –velikost bloka podatkov=1024 \
    • –velikost-zgoščenega-bloka=4096 \
    • –odmik-zgoščevalne-vrednosti= \
    • format \
    • \
    • veritysetup izpiše naslednje podatke (z ustrezno različnimi vrednostmi):
    • Informacije o glavi VERITY za datoteko data.img
    • UUID: e06ff4cb-6b56-4ad4-bd97-0104505a70a5
    • Vrsta zgoščene vrednosti: 1
    • Podatkovni bloki: 204800
    • Velikost podatkovnega bloka: 1024
    • Velikost zgoščevalnega bloka: 4096
    • Zgoščevalni algoritem: sha256
    • Salt: 17328c48990b76fbb3e05d0ebfd236043674cf0d14c278bc875b42693621cc21
    • Root hash: a0e1a449d452f74d041706b955794c0041e3d8ad051068df6589e08485323698
    • Zgoščena vrednost korenskega particije (hash) je občutljiva vrednost, ki jo je treba zaščititi. Če je ta zgoščena vrednost ogrožena, npr. če jo lahko spremeni nepooblaščena oseba, potem je zaščita integritete korenske particije s strani dm-verity neuporabna.
  2. Integrirajte korenski hash v verigo zaupanja
    • Zgoraj ustvarjena korenska zgoščena vrednost je shranjena v podpisani sliki FIT, kar jo ščiti pred manipulacijami. V ta namen je sliki FIT dodan initramfs, v katerem je korenska zgoščena vrednost shranjena v file.
    • Vozlišče slik ITS file iz poglavja 4.2 je med drugim razširjeno z naslednjim razdelkom:
    • ramdisk-1 {
    • opis = »dm-verity-image-initramfs«;
    • podatki = /incbin/(" ");
    • tip = »ramdisk«;
    • lok = "arm64";
    • os = »linux«;
    • stiskanje = »brez«;
    • nalaganje = <0x98000000>;
    • vnos = <0x98000000>;
    • zgoščena vrednost-1 {
    • algo = “sha256”;
    • };
    • };
  3. Preverite celovitost korenske particije
    • Datoteka initramfs vsebuje primeren skript, ki iz korenske particije in korenske zgoščene vrednosti ustvari preslikalnik naprav.
    • veritysetup \
    • –velikost-bloka-podatkov=${VELIKOST_BLOKA_PODATKOV} \
    • –odmik-zgoščevalne-vrednosti=${VELIKOST_PODATKOV} \
    • ustvari korenske datoteke
    • \
    • \

Nato se namesti preslikalnik naprav:

  • nosilec
  • -o ro \
  • /dev/mapper/rootfs \
  • /rootfs

Koren filesistem je samo za branje. Če želite preklopiti na dejanski korenski imenik filesistem, uporabite switch-root.

Avtomatizirano ustvarjanje s TQ-BSP
Načeloma se lahko s TQ-BSP samodejno ustvari slika z verigo zaupanja od zagonskega nalagalnika do korenske particije.
Za TQMa93xx je treba v datoteko local.conf dodati naslednje možnosti:

  • # DISTRO_FEATURE zavaruje potrebne konfiguracijske možnosti za U-Boot in Kernel
  • DISTRO_FEATURES:append = »varno«
  • # Ime ključa, ki se uporablja za podpisovanje zagonskega nalagalnika
  • IMX_HAB_KEY_NAME = »ahab«
  • # Aktivira podpisovanje slike FIT med postopkom gradnje
  • UBOOT_SIGN_ENABLE = »1«
  • # Ta razred vsebuje logiko za ustvarjanje zaščitene korenske particije
  • RAZRED_SLIK += “dm-verity-img”
  • # Ime slike initramfs za obravnavo dm-verity
  • INITRAMFS_IMAGE = »dm-verity-image-initramfs«
  • # Initramfs je shranjen kot ločen artefakt v sliki
  • INITRAMFS_SLIKA_PAKETA = »0«
  • # Shrani sliko FIT z initramfs v zagonsko particijo
  • SLIKA_ZAGON_FILES:append = ”fitImage-${INITRAMFS_IMAGE}-${MACHINE}-
  • ${MACHINE};fitImage” # Slika, ki jo je treba zaščititi z dm-verity
  • # Alternativa: tq-image-weston-debug
  • DM_VERITY_IMAGE = »tq-image-generic-debug«
  • # Vtipkajte zgornjo sliko
  • DM_VERITY_IMAGE_TYPE = »ext4«

POZOR: Natančne možnosti se lahko v prihodnjih različicah BSP spremenijo. Najnovejše informacije najdete v dokumentaciji za plast BSP (https://github.com/tq-systems/meta-tq) pod meta-tq/doc.

Celotna slika je ustvarjena z ukazom bitbake tq-image-generic-debug in jo je nato mogoče zapisati na SD kartico, npr.ample.

Preverjanje
V Linuxu lahko z ukazom mount -a preverite, ali je Verity Devicemapper nameščen kot korenski upravljalnik. filesistem:

  • # montaža
  • /dev/mapper/rootfs vklopljen / vtipkaj ext4 (ro,relatime)
  • Poleg tega celotna korenina file Sistem je v tem primeru samo za branje:
  • # test dotika
  • dotik: ni mogoče dotikati 'test': samo za branje file sistem

Za ponarejanje, koren file Sistem je mogoče spremeniti brez povezave in napravo ponovno zagnati. Sprememba povzroči drugačen korenski zgoščeni kod in postopek zagona se prekine: device-mapper: verity: 179:98: podatkovni blok 1 je poškodovan

Več informacij o TQMa93xx najdete v wiki strani za podporo TQ: https://support.tq-group.com/en/arm/modules#nxp_imx_9_series

TQ-Systems GmbH
Mühlstraße 2 l Gut Delling l 82229 Seefeld Info@TQ-Group | TQ-Group

Pogosto zastavljena vprašanja

V: Ali je mogoče obrniti nepovraten postopek nastavitve varovalk, omenjen v navodilih?
A: Ne, nastavitev varovalk je nepovratna. Priporočljiva je uporaba razvojnega vzorca.

V: Kje lahko najdem potrebne izvorne kode za Linux in U-Boot?

O: Linux:
Repozitorij Linuxa
U-Boot: U-Boot
Repozitorij

Dokumenti / Viri

Varni zagon TQ TQMa93 [pdf] Uporabniški priročnik
TQMa93xx, TQMa93 Varni zagon, Varni zagon, Zagon

Reference

Pustite komentar

Vaš elektronski naslov ne bo objavljen. Obvezna polja so označena *