2020 年 11 月,苹果发布的新品台式机搭载了 M1 处理器,不少人都为该系统的出色性能而赞不绝口。事实上,Linux 之父 Linus Torvalds 也曾在国外 Real World Technologies 网站的留言板答网友提出的“如何看待新的(M1 芯片)苹果电脑”问题时,回应称:
如果它运行 Linux ,我绝对希望拥有一台。
此前,CSDN 也曾报道过安全顾问 Hector Martin 正在众筹平台 Patreon 上启动了一项向 M1 Mac 移植 Linux 的项目(https://www.patreon.com/marcan),并且得到不少开发者的响应。而本文作者也一直在努力为安全研究人员提供有关操作系统和程序如何在苹果 ARM 处理器上运行的深刻见解。因此,当苹果决定允许在带有M1处理器的 Mac 上安装自定义内核时,他们决定尝试一番。
M1 的许多组件都是与苹果的移动 SoC 共享的,因此可以从这个地方入手。但是,在编写 Linux 驱动程序时发现,实际上苹果的 SoC 非常不标准。由于笔者的虚拟环境非常灵活,能够适应多种模型,但在 Linux 上,64 位 ARM 主要依赖于一系列定义良好的组件和固件接口,但 M1 几乎没有使用任何这类的组件或固件接口。首先,苹果的 CPU 采用了不同的方式来引导操作系统内核。引导加载程序(称为 iBoot)加载一个 Mach-O 格式的可执行目标文件,该文件支持压缩,并封装在一种经过 ASN.1 签名的 IMG4 格式中。与之相比,正常的 64 位 ARM 上的 Linux 则由一个普通的二进制镜像引导(支持压缩,也支持几种容器格式),或者在 UEFI 平台上由 Windows 风格的“PE”可执行文件引导。CPU 核心启动之后,真正的问题来了。在其他 64 位 ARM 系统上,这一步通常是通过 PSCI 接口调用固件(一些系统采用了轮询表,但依然需要固件)。但在 M1 上,CPU 核心从一个 MMIO 寄存器指定的地址处开始(MMIO 寄存器由内核镜像设置成某个特定的偏移量,然后由引导程序锁定),然后直接开始运行内核。除此之外,苹果还设计了自己的中断控制器 Apple Interrupt controller(简称 AIC),这个控制器与任何主流 ARM GIC 标准都不兼容。不仅如此,其定时器中断并没有像通常的 ARM 那样连接到每个 CPU 中断上,而是路由到 FIQ 上。FIQ 是一个很难理解的架构特性,在老式的 32 位 ARM 处理器上经常使用。很显然,Linux 内核并不支持通过 FIQ 发送中断,所以我们必须自己实现。系统内的多个处理器互相通信需要一组处理器间中断(IPI)。在旧的苹果 SoC 上,这些中断的处理方式与 IRQ 相似,即执行 MMIO 并访问 AIC。但在新的处理器上,苹果使用了一组处理器核心寄存器来分发并通知 IPI,而且也路由到了 FIQ 上。所以 FIQ 的支持非常重要。在处理了一些其他的硬件特性之后,笔者团队添加了一个预加载器,作为启动处理器核心的跳板,这样就可以设置帧缓冲区,并看到 Linux 启动时的企鹅了。
不幸地是,笔者团队并没能用上 M1 Mac 上的 UART 线,所以只能通过其他方式来添加键盘(甚至鼠标)。M1 Mac Mini 有三种方式来实现这一点:M1 芯片上内置的 USB 宿主(提供 Thunderbolt/USB 接口),PCIe 上的 xHCI USB 宿主(提供 A 类接口),以及蓝牙。团队并没有打算深入研究苹果的蓝牙,但大家注意到它使用了一种非标准的 PCIe 协议,而且不仅需要使用 M1 芯片上的 PCIe 接口,还需要为该协议编写自定义的内核驱动程序。这不是个理想的选择。也就是说,只能选择 PCEe 并使用标准的内核 xHCI 驱动,或者使用内置的 USB 控制器。苹果很早以前就在其芯片里使用了 Synopsys DWC3 双角色 USB 控制器,而且该控制器有 Linux 内核驱动。不幸的是,苹果又给该控制器添加了自定义的逻辑,所以这里也需要大量工作。M1 的 PCIe 和内置的 DWC3 USB 控制器都使用 IOMMU,称为 DART。苹果一直在改进其 DART 设计,因此 IOMMU 的功能很齐全。最新版甚至支持子页面内存保护,这是在其他控制器中从未有过的。为了将 M1 中的 USB 端口连接到 Mac Mini 背后的 USB C 口连接器上,团队需要使用 I2C 上的芯片(意味着需要提供 GPIO 和 I2C 驱动程序),这两者都使用了自定义固件。在研究了几天 USB 后,大家终于能够连接到外部的 USB 集线器上并成功地连上了键盘、鼠标和闪存盘,从此就可以运行正常的 Linux 桌面版了。
3.1 下载 Ubuntu rootfs
在 Mac Mini M1 上引导 Linux 的第一步就是下载 Ubuntu POC 的 rootfs。我们采用了树莓派的镜像,因为它是 live 版本的 USB 启动镜像,所以只需要做出细微的修改即可。
3.2 解压缩镜像
你需要至少 16 G 的外置 USB。执行下列命令解压缩镜像:
tar -xjvfubuntu-20.10-preinstalled-desktop-arm64+raspi.img.bz2然后,使用磁盘工具找到外部 USB 的名称。最后,执行下列命令将镜像复制到 USB 上:
sudo dd if=ubuntu-20.10-preinstalled-desktop-arm64+raspi.img of=/dev/rYOURUSBDISK bs=1m
3.3 连接到 Mac
通过 USB C 口适配器,将 USB 插入 Mac Mini M1 上。目前不支持 A 口。
3.4 引导至 1TR
为了引导至 1TR(真正的恢复操作系统),请关闭 Mac Mini M1,然后按住电源键,直到看到“loading options”。加载完成之后,从顶端的菜单中选择终端选项。
3.5 安装自定义内核
下一步就是安装自定义内核。笔者团队编写了一个脚本来减轻你的负担。只需要运行:/bin/bash -c "$(curl -fsSL https://downloads.corellium.info/linuxsetup.sh)"该脚本会询问用户名和密码。看到“Kernel installed”提示后就可以重启了。
3.6 登录
系统引导之后就会提示你登录。用户名为“pi”,密码为“raspberry”。root密码也是“raspberry”。
3.7 恢复 MacOS
如果想恢复至 MacOS,只需在 1TR 中打开终端,执行 bputil -n 即可。参考链接:https://corellium.com/blog/linux-m1