【发布时间】:2018-05-28 18:16:39
【问题描述】:
我想让我的开发板的引导加载程序(u-boot)被锁定,这样任何人都无法停止自动引导过程。 (这样我就可以确定没有人可以修改板子的固件!)
所以请指导我锁定固件并阻止任何“root”尝试。我正在使用amlogic s905x SoC。
另一个问题:
此过程是否与经过验证的引导和签名内核映像有关?
【问题讨论】:
标签: bootloader u-boot device-tree
【发布时间】:2018-05-28 18:16:39
【问题描述】:
如果您的 SoC 芯片支持安全启动,那么这是一种使其固件安全越狱的方法。查阅数据表。否则您无法“锁定”固件。
【讨论】:
您可以使用 CONFIG_AUTOBOOT_KEYED=Password 来要求输入密码以停止自动启动。
您可以使用 CONFIG_BOOTDELAY=-2 无延迟地自动启动,并且不检查中止。
这不会阻止具有物理访问权限的用户更改固件。他们可以简单地插入自己的 SD 卡或 USB 记忆棒或重新编程 eMMC。
如果您需要重新刷新退回的设备,CONFIG_AUTOBOOT_KEYED 会让您生活得更轻松。
【讨论】:
-
您说'这不会阻止具有物理访问权限的用户更改固件..' 我怎样才能防止他们更改固件并永久生根?验证启动启用是否足够?谢谢你。 @xypron