Я выполняю безопасную загрузку в Yocto. Я создаю образ yocto вместе с функцией безопасной загрузки, включенной на метауровне. Но сгенерированный образ (secure-core-image.hddimg) не содержит подписанных образов, поэтому даже если я включу безопасную загрузку в UEFI BIOS, он не загрузится.
Следующие шаги, которые мы выполнили до сих пор:
- Добавлен слой meta-secure-core в существующее скрытое хранилище (ветка thud).
- Включены рецепты в conf/bblayers.conf
BBLAYERS ?= "\
/path/to/yocto/meta \
/path/to/yocto/meta-poky \
/path/to/yocto/meta-yocto-bsp \
/path/to/yocto/meta-meta-secure-core/meta \
/path/to/yocto/meta-meta-secure-core/meta-signing-key \
/path/to/yocto/meta-meta-secure-core/meta-tpm \
/path/to/yocto/meta-meta-secure-core/meta-tpm2 \
/path/to/yocto/meta-meta-secure-core/meta-efi-secure-boot \
/path/to/yocto/meta-meta-secure-core/meta-integrity \
/path/to/yocto/meta-meta-secure-core/meta-encrypted-storage \
"
- Настроил все функции mets-secure-core в conf/local.conf
INITRAMFS_IMAGE = "secure-core-image-initramfs"
DISTRO_FEATURES_NATIVE_append += "systemd ima tpm tpm2 efi-secure-boot luks"
DISTRO_FEATURES_append += "systemd ima tpm tpm2 efi-secure-boot luks modsign"
MACHINE_FEATURES_NATIVE_append += "efi"
MACHINE_FEATURES_append += "efi"
PACKAGE_CLASSES = "package_rpm"
INHERIT += "sign_rpm_ext"
SECURE_CORE_IMAGE_EXTRA_INSTALL ?= "\
packagegroup-efi-secure-boot \
packagegroup-tpm \
packagegroup-tpm2 \
packagegroup-ima \
packagegroup-luks \
"
DEBUG_FLAGS_forcevariable = ""
IMAGE_INSTALL += "kernel-image-bzimage"
USER_CLASSES_remove = "image-prelink"
- Построил образ:
bitbake secure-core-image (this will sign shim, grub , kernel,intird and rootfs and generate secure-core-image-genericX86-64.hddimg)
Пожалуйста, помогите мне..
Ссылки: https://github.com/jiazhang0/meta-efi-secure-boot https://github.com/jiazhang0/meta-secure-core