[升级后起不来]

bmc_core SIG
1

openubmc 升级后起不来,看bmc主备分区,包应该是升级成功了的,只是起不来,串口报错启动校验失败:这个与签名有什么关系没

1970-01-01 08:02:15.999245 maca ERROR: init.lua(185): [oms]StartupCheck failed,
error: org.freedesktop.DBus.Error.ServiceUnknown: The name bmc.kepler.oms was no
t provided by any .service files, check count: 4
1970-01-01 08:02:16.097128 maca ERROR: init.lua(185): [bmc_upgrade]StartupCheck
failed, error: org.freedesktop.DBus.Error.ServiceUnknown: The name bmc.kepler.bm
c_upgrade was not provided by any .service files, check count: 4
1970-01-01 08:02:16.208576 maca ERROR: init.lua(185): [bios]StartupCheck failed,
error: org.freedesktop.DBus.Error.ServiceUnknown: The name bmc.kepler.bios was
not provided by any .service files, check count: 4
1970-01-01 08:02:16.296389 maca ERROR: init.lua(185): [compute]StartupCheck fail
ed, error: org.freedesktop.DBus.Error.ServiceUnknown: The name bmc.kepler.comput
e was not provided by any .service files, check count: 4
1970-01-01 08:02:16.510334 maca ERROR: init.lua(185): [rmcpd]StartupCheck failed
, error: org.freedesktop.DBus.Error.ServiceUnknown: The name bmc.kepler.rmcpd wa
s not provided by any .service files, check count: 4
1970-01-01 08:02:16.622975 maca ERROR: init.lua(185): [ssdp]StartupCheck failed,
error: org.freedesktop.DBus.Error.ServiceUnknown: The name bmc.kepler.ssdp was
not provided by any .service files, check count: 4
1970-01-01 08:02:16.707220 maca ERROR: init.lua(185): [chassis]StartupCheck fail
ed, error: org.freedesktop.DBus.Error.ServiceUnknown: The name bmc.kepler.chassi
s was not provided by any .service files, check count: 4
1970-01-01 08:02:16.796228 maca ERROR: init.lua(185): [ai_engine]StartupCheck fa
iled, error: org.freedesktop.DBus.Error.ServiceUnknown: The name bmc.kepler.ai_e
ngine was not provided by any .service files, check count: 4

整合启动日志.txt (79.7 KB)

2

答案内容由AI生成,仅供参考:

openUBMC升级后无法启动问题分析:签名与服务缺失的关系

根据您提供的日志信息和问题描述,openUBMC升级后无法启动且出现“启动校验失败”的问题,极有可能与签名(证书)问题有直接关系。尽管BMC主备分区显示包已更新成功,但这并不意味着固件被系统正确识别和信任。

以下将结合日志、知识库信息进行详细分析和解释。

:magnifying_glass_tilted_left: 问题现象总结

  • 现象: openUBMC固件升级后BMC无法正常启动。
  • 外在表现: 串口输出“启动校验失败”,系统停留在早期启动阶段。
  • 日志特征: 多个关键服务(如bmc.kepler.bmc_upgrade, bmc.kepler.bios, bmc.kepler.rmcpd等)报错 Dbus.Error.ServiceUnknown,提示“.service files未提供”。
  • 核心疑问: 升级成功但起不来,是否与签名有关?

:puzzle_piece: 核心分析:日志中的关键线索

您提供的日志中反复出现如下错误格式:

[ComponentName]StartupCheck failed, error: org.freedesktop.DBus.Error.ServiceUnknown: The name bmc.kepler.ComponentName was not provided by any .service files

:white_check_mark: 错误含义解析

该错误表示:

D-Bus 服务管理器在系统启动时,搜索系统路径下的 *.service 文件(通常是 /usr/share/dbus-1/system-services/ 或类似目录),未能找到对应服务的声明文件,因此认为该服务“未知”,无法启动。

虽然 bmc.kepler.* 等组件已加载到分区中,但其声明文件缺失或未通过验证,导致服务注册失败。

:locked_with_key: 签名与启动失败的直接联系

虽然“签名”通常被认为只在“升级阶段”起作用,但在 openUBMC/iBMC 架构中,签名验证贯穿整个系统启动过程

1. 启动流程依赖安全验证

BMC系统在启动过程中会执行一系列 安全启动(Secure Boot) 检查,包括:

  • 校验各组件映像的数字签名(如使用 Huawei Integrity Root CA - G2.der 等根证书)。
  • 验证 .service 文件、配置脚本、可执行文件是否被篡改。
  • 若签名验证失败,即使文件存在,系统也会拒绝加载,以防止潜在恶意代码运行。

因此,.service 文件虽然物理存在,但如果其签名无效或不受信任(例如:自签名但未导入根证书),系统会将其视为“不可信”并忽略,从而导致 ServiceUnknown 错误。

2. 知识库佐证:签名问题是典型升级失败原因

搜索结果中明确指出:

“从日志可以看到此版本BMC缺乏或本根证书,导致签名校验失败,当前版本的BMC不但无法从V2升级到V3,也无法升级V2,需要先解决证书问题。”

—— 来源:《固件升级机制及常见问题》

此外,日志中显示的组件如 bmc_upgrade, bios, rmcpd 都是系统关键服务,它们的 .service 文件若无法通过校验,将直接导致系统无法进入正常运行状态。

:pushpin: 可能原因归纳

原因 说明
:white_check_mark: 签名证书不匹配或缺失根证书 您使用的升级包是自签名或第三方签名,而当前BMC环境未导入相应的根证书(如Huawei的CA),导致所有组件被拒载。这是最可能的原因
:warning: 签名包制作不完整 签名过程未包含 .service 文件或其路径配置错误,导致签名生效但文件不可用。
:warning: 使用了过期/不兼容的签名工具链 Bmcgo 版本过旧导致签名策略不匹配,影响校验结果。
:warning: 过渡包(Intermediate Package)缺失 从旧版本(如V2)升级到新架构(V3/openUBMC)需先刷过渡包以预埋新证书支持。跳过此步会导致签名校验失败。

:white_check_mark: 解决建议

1. 确认并清理旧证书环境

  • 如果是从华为 iBMC 升级至 openUBMC,需确认是否清除了旧的根证书限制。
  • 参考知识库中用户 宝德计算机-王志杰 提到:

    “机器比较旧吧 没有清理华为的根”

  • 尝试烧录纯净的 TR5 或 openUBMC 初始镜像,排除旧环境干扰。

2. 验证升级包签名方式

  • 确保升级包使用正确的私钥签名,并且对应的公钥(CA证书)已预置在目标设备的信任库中
  • 若为自研系统,需在编译时将自定义 CA 加入镜像。

3. 使用中间过渡包(Intermediate/Hardening Package)

  • 类似 5.07.00.01 这类版本,用于预埋新签名体系支持
  • 先升级此包 → 触发信任链更新 → 再升级正式 openUBMC 包。

4. 检查 .service 文件是否完整

  • 使用文件系统工具(如cramfsckbinwalk)解包固件,检查是否存在以下文件:
    /usr/share/dbus-1/system-services/bmc.kepler.bmc_upgrade.service
/usr/share/dbus-1/system-services/bmc.kepler.bios.service
...
  • 并确认其权限和路径正确。

5. 查看完整启动日志(如 framework.log

  • 搜索 "secure fw""signature check""CA verification" 等关键词,定位签名校验失败的具体环节。

:toolbox: 总结

问题 回答
openUBMC升级后起不来,是否与签名有关? :white_check_mark: 高度相关。签名不仅是升级门槛,更是运行时组件加载的安全依据。
为何主备分区显示升级成功? 固件写入Flash成功 ≠ 成功启动。签名/校验失败会导致系统拒绝执行新镜像。
Dbus.Error.ServiceUnknown 是根本原因吗? :cross_mark: 不是根本原因。它是结果,根本原因是这些服务因签名问题未被加载。
如何解决? :check_mark: 清理旧环境证书
:check_mark: 使用合法签名的包
:check_mark: 采用中间过渡包
:check_mark: 验证.service文件完整性

:link: 推荐参考资料

若条件允许,建议在升级前执行 “恢复出厂设置” 或 “刷片” 操作,彻底清除历史残留配置与证书限制。

相关链接:

  1. 基础通用问题FAQ
  2. 【iTestSmart】ipmi接口设置SmartCooling模式,日志显示成功,但结果Fail。
  3. 升级失败,web升级进度卡在15%,导致无法重启BMC或者重新升级
  4. 25.09版本真机升级失败求助
  5. 构建工程 | 文档中心 | openUBMC
3

bmc各个包组件依赖有问题