Hallo liebe Gemeinde,
wir sind aktuell auf der Suche nach einer passenden Hardware für eines unserer Produkte, um CPU Ressourcen auslagern zu können. Hierbei sind wir auf den RevPi Core 3 gestoßen und hätten folgende Frage, nachdem ich via der Forumsuche keine Antwort finden konnten:
Geplant ist, dass wir z.B. den RevPi Core 3 mit einer Docker Runtime versehen. Dieser Service enthält, sobald verfügbar, von einem anderem Netzwerkteilnehmer und nach einem verschlüsselten Verbindungsaufbau das nötige Image um dies ausführen zu können.
Nachdem wir nicht beabsichtigen, keinen weiteren Zugriff auf diesen RevPi Core 3 von außen zuzulassen, haben wir folgende Frage. Ist es generell möglich, die Micro-USB-Schnittstelle per SW (Kernel-Flags, o.Ä.) zu deaktivieren und weitere SW-Updates via unserer eigenen Software per ETH durchzuführen, oder ist die Micro-USB-Schnittstelle immer aktiv, so dass im Feld, theoretisch jede Person, welche physischen Zugriff auf den RevPi hat, ein neues Image aufspielen könnte.
Wir haben die Absicht, diesen Zugang (ggf. auch die externen I/Os aus Sicherheitsgründen für unseren Anwendungsfall) für immer zu deaktivieren (z.B. durch Aufspielen eines neuen, proprietären Images, welches u.a. auch den Micro-USB Teil deaktiviert)
Das primäre Ziel für uns wäre also, dass niemand zu dem, auf dem RevPi befindlichen Schlüssel im EMMC-Flash, Zugang erhält.
Danke für eine kurze Antwort im Voraus!
Gruß,
Deaktivierung Micro-USB um weitere Image-Updates zu unterbinden
Re: Deaktivierung Micro-USB um weitere Image-Updates zu unterbinden
Hi,
wir haben an anderer Stelle schon mal etwas detaillierter über die Micro-USB und deren Anschaltung gesprochen.
Es ist so: Es handelt sich um eine herdwarebasierte Umschaltung zum einen der USB-Schnittstelle vom Broadcom aber auch um eine hardwarebasierte Umschaltung des Bootloaders.
Diese Umschaltungen werden durch die USB V-bus-Spannung (5V) vom USB Host (PC) ausgelöst. Liegt V-bus an der micro USB an, dann wird per HW die USB Schnittstelle vn den USB A Buchsen auf die Micro-USB umgelegt. Außerdem wird ein Boot-0 Pin des Computemoduls umgeschaltet und damit ein anderer Bootloader verwendet, auf ein Boot-Programm wartet, welches von der USB Schnittstelle geliefert werden muss (-> RPBOOT Prorgamm auf dem PC liefert das). Das ist also alles über Hardware gesteuert und kann daher niocht blockiet werden. Eine Linux-Software läuft ja zu diesem Zeitpunkt noch gar nicht.
Die einzige Option wäre eine Hardwareändeung. Es langt das Auslöten eines Widerstands im Prinzip. Wenn Du das nicht machen möchtest, dann könntest Du auch die USB-Buchse unbrauchbar machen. Imprinzip reicht ein Tropfen 2-K-Kleber in die Buchse, um das zu bewirken...
wir haben an anderer Stelle schon mal etwas detaillierter über die Micro-USB und deren Anschaltung gesprochen.
Es ist so: Es handelt sich um eine herdwarebasierte Umschaltung zum einen der USB-Schnittstelle vom Broadcom aber auch um eine hardwarebasierte Umschaltung des Bootloaders.
Diese Umschaltungen werden durch die USB V-bus-Spannung (5V) vom USB Host (PC) ausgelöst. Liegt V-bus an der micro USB an, dann wird per HW die USB Schnittstelle vn den USB A Buchsen auf die Micro-USB umgelegt. Außerdem wird ein Boot-0 Pin des Computemoduls umgeschaltet und damit ein anderer Bootloader verwendet, auf ein Boot-Programm wartet, welches von der USB Schnittstelle geliefert werden muss (-> RPBOOT Prorgamm auf dem PC liefert das). Das ist also alles über Hardware gesteuert und kann daher niocht blockiet werden. Eine Linux-Software läuft ja zu diesem Zeitpunkt noch gar nicht.
Die einzige Option wäre eine Hardwareändeung. Es langt das Auslöten eines Widerstands im Prinzip. Wenn Du das nicht machen möchtest, dann könntest Du auch die USB-Buchse unbrauchbar machen. Imprinzip reicht ein Tropfen 2-K-Kleber in die Buchse, um das zu bewirken...
Unser RevPi Motto: Don't just claim it - make it!
Re: Deaktivierung Micro-USB um weitere Image-Updates zu unterbinden
Danke Volker,
ich habe den Link zum Thema "keine Verbindung zum RevPi über USB" gefunden. Hier ist die Info für die 5V gut verständlich geschildert. Auch deine Info erweitert den Zusamenhang deutlich.
Ich bin jetzt kein Eletrotechniker aber der von dir angedeutete Widerstand müsste der "R306" sein, richtig?
Danke für die Info. Wir werden weitere Tests fahren und auf Euch zurück kommen!
Gruß,
stgr
ich habe den Link zum Thema "keine Verbindung zum RevPi über USB" gefunden. Hier ist die Info für die 5V gut verständlich geschildert. Auch deine Info erweitert den Zusamenhang deutlich.
Ich bin jetzt kein Eletrotechniker aber der von dir angedeutete Widerstand müsste der "R306" sein, richtig?
Danke für die Info. Wir werden weitere Tests fahren und auf Euch zurück kommen!
Gruß,
stgr