此前,CSDN 也曾报道过安全顾问 Hector Martin 正在众筹平台 Patreon 上启动了一项向 的项目(https://www.patreon.com/marcan),并且得到不少开发者的响应。而本文作者也一直在努力为安全研究人员提供有关操作系统和程序如何在苹果 ARM 处理器上运行的深刻见解。因此,当苹果决定允许在带有M1处理器的 Mac 上安装自定义内核时,他们决定尝试一番。
开始将 Linux 移植 M1
M1 的许多组件都是与苹果的移动 SoC 共享的,因此可以从这个地方入手。但是,在编写 Linux 驱动程序时发现,实际上苹果的 SoC 非常不标准。由于笔者的虚拟环境非常灵活,能够适应多种模型,但在 Linux 上,64 位 ARM 主要依赖于一系列定义良好的组件和固件接口,但 M1 几乎没有使用任何这类的组件或固件接口。首先,苹果的 CPU 采用了不同的方式来引导操作系统内核。引导加载程序(称为 iBoot)加载一个 Mach-O 格式的可执行目标文件,该文件支持压缩,并封装在一种经过 ASN.1 签名的 IMG4 格式中。与之相比,正常的 64 位 ARM 上的 Linux 则由一个普通的二进制镜像引导(支持压缩,也支持几种容器格式),或者在 UEFI 平台上由 Windows 风格的“PE”可执行文件引导。CPU 核心启动之后,真正的问题来了。在其他 64 位 ARM 系统上,这一步通常是通过 PSCI 接口调用固件(一些系统采用了轮询表,但依然需要固件)。但在 M1 上,CPU 核心从一个 MMIO 寄存器指定的地址处开始(MMIO 寄存器由内核镜像设置成某个特定的偏移量,然后由引导程序锁定),然后直接开始运行内核。除此之外,苹果还设计了自己的中断控制器 Apple Interrupt controller(简称 AIC),这个控制器与任何主流 ARM GIC 标准都不兼容。不仅如此,其定时器中断并没有像通常的 ARM 那样连接到每个 CPU 中断上,而是路由到 FIQ 上。FIQ 是一个很难理解的架构特性,在老式的 32 位 ARM 处理器上经常使用。很显然,Linux 内核并不支持通过 FIQ 发送中断,所以我们必须自己实现。系统内的多个处理器互相通信需要一组处理器间中断(IPI)。在旧的苹果 SoC 上,这些中断的处理方式与 IRQ 相似,即执行 MMIO 并访问 AIC。但在新的处理器上,苹果使用了一组处理器核心寄存器来分发并通知 IPI,而且也路由到了 FIQ 上。所以 FIQ 的支持非常重要。在处理了一些其他的硬件特性之后,笔者团队添加了一个预加载器,作为启动处理器核心的跳板,这样就可以设置帧缓冲区,并看到 Linux 启动时的企鹅了。
需要更多输入
不幸地是,笔者团队并没能用上 M1 Mac 上的 UART 线,所以只能通过其他方式来添加键盘(甚至鼠标)。M1 Mac Mini 有三种方式来实现这一点:M1 芯片上内置的 USB 宿主(提供 Thunderbolt/USB 接口),PCIe 上的 xHCI USB 宿主(提供 A 类接口),以及蓝牙。团队并没有打算深入研究苹果的蓝牙,但大家注意到它使用了一种非标准的 PCIe 协议,而且不仅需要使用 M1 芯片上的 PCIe 接口,还需要为该协议编写自定义的内核驱动程序。这不是个理想的选择。也就是说,只能选择 PCEe 并使用标准的内核 xHCI 驱动,或者使用内置的 USB 控制器。苹果很早以前就在其芯片里使用了 Synopsys DWC3 双角色 USB 控制器,而且该控制器有 Linux 内核驱动。不幸的是,苹果又给该控制器添加了自定义的逻辑,所以这里也需要大量工作。M1 的 PCIe 和内置的 DWC3 USB 控制器都使用 IOMMU,称为 DART。苹果一直在改进其 DART 设计,因此 IOMMU 的功能很齐全。最新版甚至支持子页面内存保护,这是在其他控制器中从未有过的。为了将 M1 中的 USB 端口连接到 Mac Mini 背后的 USB C 口连接器上,团队需要使用 I2C 上的芯片(意味着需要提供 GPIO 和 I2C 驱动程序),这两者都使用了自定义固件。在研究了几天 USB 后,大家终于能够连接到外部的 USB 集线器上并成功地连上了键盘、鼠标和闪存盘,从此就可以运行正常的 Linux 桌面版了。
操作指南
3.1 下载 Ubuntu rootfs
在 Mac Mini M1 上引导 Linux 的第一步就是下载 Ubuntu POC 的 rootfs。我们采用了树莓派的镜像,因为它是 live 版本的 USB 启动镜像,所以只需要做出细微的修改即可。